imported>Dexxor: Wikipedia_Diskussion:Redaktion_Informatik#Datenbereich

2025-02-06T16:54:06Z

Wikipedia_Diskussion:Redaktion_Informatik#Datenbereich

Neue Seite

Das '''NX-Bit''' ({{lang|en|'''N'''o e'''X'''ecute}}, AMD) bzw. '''XD-Bit''' ({{lang|en|E'''x'''ecute '''D'''isable}}, Intel) ist eine Technik von [[Prozessor]]en der [[x86-Prozessor|x86-Familie]] zur Verbesserung der Sicherheit eines Computers. Sie soll verhindern, dass beliebige Daten als Programmcode ausgeführt werden und auf diese Weise [[Schadcode]] starten, wie z. B. [[Computervirus|Viren]], [[Backdoor]]s u. ä. Das NX-Bit wurde von [[AMD]] 2004 bei der [[x86-Architektur]] eingeführt und auch von [[Intel]] und anderen [[x86-Prozessor#Hersteller|Herstellern von x86-Prozessoren]] übernommen. Bei [[Microsoft Windows|Windows-Betriebssystemen]] (ab Windows XP SP2) wird die Technik auch als ''Data Execution Prevention''<ref>[https://docs.microsoft.com/en-us/windows/win32/memory/data-execution-prevention msdn.microsoft.com]</ref> (kurz ''DEP''; {{deS|''Datenausführungsverhinderung''}}) bezeichnet.

Ähnliche Techniken gibt es auf anderen [[Prozessorarchitektur]]en schon länger, etwa beim [[PowerPC]] von [[IBM]] und [[Motorola]], der [[SPARC-Architektur]] von [[Sun Microsystems|Sun]] und den [[Alpha-Prozessor]]en von [[Digital Equipment Corporation|DEC]].

== Geschichte ==
Seit dem [[Intel 80286|80286]]-Prozessor von Intel besteht im sogenannten {{lang|en|[[Protected Mode]]}} die Möglichkeit, einzelne [[Speichersegment]]e als ''ausführbar'' (Code-Segmente) oder ''nicht ausführbar'' (Daten-Segmente) zu kennzeichnen. Wird versucht, Code an einer Adresse in einem als ''nicht ausführbar'' markierten Speichersegment auszuführen, löst die CPU einen Hardware-Interrupt aus, welcher vom Betriebssystem abgefangen wird. Das betreffende Programm wird daraufhin abgebrochen.

Seit den 1990er Jahren nutzen moderne Betriebssysteme zwar ebenfalls den {{lang|en|Protected Mode}}, jedoch verwenden sie ein sogenanntes „flaches [[Speichermodell (Speicherverwaltung)|Speichermodell]]“ ([[Adressraum#Linearer Adressraum|linearer Adressraum]]), in dem sämtliche Segmente den gleichen linearen Speicherbereich überdecken. Der segmentbasierte [[Speicherschutz]] ist damit ausgehebelt, eine Trennung zwischen Code- und [[Datensegment]]en ist nicht mehr vorhanden.

Die Technik wurde daher vom Chiphersteller [[AMD]] 2004 mit dem Prozessor [[AMD Athlon 64|Athlon 64]] unter dem Namen ''NX-Bit'' für den x86-Markt eingeführt<ref name="inforworld_nx_transmeta_2004">{{Internetquelle |autor=Tom Krazit |url=https://www.infoworld.com/article/2667400/transmeta-targets-pentium-m-users-with-nx-security-bit.html |titel=Transmeta targets Pentium M users with NX security bit |titelerg=No Execute feature for security gets backing |werk=[[InfoWorld]] |datum=2004-05-17 |sprache=en-US |abruf=2022-09-18 |abruf-verborgen= |zitat=Earlier this month, AMD released two Mobile Athlon 64 processors for thin and light notebooks that support NX, or what AMD calls Enhanced Virus Protection.}}</ref> und als ''{{lang|en-US|Enhanced Virus Protection}}'' (''EVP'') vermarktet. [[Intel]] setzte eine vergleichbare Technik bereits bei der gemeinsam mit [[HP Inc.|Hewlett-Packard]] entwickelten [[Itanium-Architektur]] ein und zog 2005 mit den [[Intel Pentium 4|Pentium-4]]-<ref>{{Heise online |ID=101348 |Titel=Intel lässt Details zu kommenden Pentium-4-Versionen entschlüpfen |Autor=Christof Windeck |Datum=2004-06-04 |Abruf=2022-09-18}}</ref> und [[Intel Pentium M|Pentium-M]]-Modellen, sowie bei der 2006 eingeführten [[Intel-Core-Mikroarchitektur|Core-Mikroarchitektur]] auch auf der x86-Architektur nach, allerdings unter dem Namen ''XD-Bit'' ({{lang|en-US|Execute Disable}}). Auch [[Transmeta]] und [[VIA Technologies|VIA]]/[[Centaur Technology|Centaur]] übernahmen die Technik in deren x86-Prozessoren.<ref name="inforworld_nx_transmeta_2004" /><ref>{{Heise online |ID=98735 |Titel=Transmetas Efficeon-Prozessoren bald mit NX-Speicherschutz |Autor=Christof Windeck |Datum=2004-05-18 |Abruf=2022-09-18}}</ref><ref>{{Heise online |ID=98799 |Titel=VIA will auch bald C3-Prozessoren mit NX-Speicherschutz liefern |Autor=Christof Windeck |Datum=2004-05-19 |Abruf=2022-09-18}}</ref><ref name="heiseonline_107139">{{Heise online |ID=107139 |Titel=Fall Processor Forum: 64-Bit-Prozessor von VIA |Autor=Andreas Stiller |Datum=2004-10-06 |Abruf=2022-09-18}}</ref>

== Funktionsweise ==
{| class="wikitable" style="text-align:center"
|+ 64-Bit-Eintrag im Seitenverzeichnis (Page directory entry)
|- style="border-top:2px solid #777777"
!Bits:
! 63
!colspan="11"| 62 … 52
!colspan="20"| 51 … 32
|- style="border-bottom:2px solid #777777;"
!Inhalt:
| NX
|colspan=11 style="background-color:#ccc;"| ''reserved''
|colspan=20| Bit 51 … 32 der Basisadresse
|-
!Bits:
!colspan="20"| 31 … 12
!colspan="3"| 11 … 9
!8
!7
!6
!5
!4
!3
!2
!1
!0
|- style="border-bottom:2px solid #777777;"
!Inhalt:
|colspan=20| Bit 31 … 12 der Basisadresse
|colspan="3"| AVL
|''ig''
| 0
|''ig''
| A
|PCD
|PWT
|U/S
|R/W
|P
|}

Heutige Betriebssysteme verlassen sich beim Speicherschutz ausschließlich auf [[Paging|seitenbasiertes]] Speichermanagement. Dieses gestattet bei der 32-Bit-x86-Architektur [[IA-32]] zwar die Unterscheidung zwischen Seiten, die „nur lesbar“ und welchen, die „les- und schreibbar“ sind (siehe Bit 1 („R/W“) im Seitentabelleneintrag), jedoch ist dort keine Unterscheidung zwischen (Daten) „Lesen“ und (Code) „Ausführen“ vorgesehen. AMD hat für das NX-Bit das Bit 63 in den 64-Bit-Seitentabellen und -verzeichnissen verwendet. 64-Bit-Seitentabellen und -verzeichnisse werden nur im 64-Bit-Modus und im 32-Bit-Modus mit aktivierter {{lang|en|[[Physical-Address Extension]]}} (PAE) verwendet.

Das NX-Bit wird vom Betriebssystem, sofern es dieses unterstützt, für den [[Aufrufstapel|Stack]] und andere [[Datensegment]]e im Arbeitsspeicher gesetzt, so dass diese nicht mehr ausführbar sind. Versucht ein Programm nun, aufgrund eines Bugs oder einer Infektion mit Schadcode diese so markierten Speicherseiten auszuführen, fängt die CPU dies ab und meldet dies über einen Hardware-Interrupt an das Betriebssystem, welches daraufhin das betroffene Programm beendet.

Durch dieses Vorgehen wird das [[Von-Neumann-Architektur|Von-Neumann-Prinzip]], Daten und Programm in einem gemeinsamen Speicher abzulegen, teilweise verletzt. Allerdings wird nur der Ausführung von Code in Datensegmenten (z. B. in einem Stack oder [[Dynamischer Speicher|Heap]]) vorgebeugt. Der Pufferüberlauf an sich wird nicht unterbunden. Wenn dabei ein [[Sprunganweisung|Sprung]] in eine Codepage ausgelöst wird, ist die No-Execute-Technik wirkungslos. Des Weiteren lässt sich trotz dieser Technik beliebiger Code beispielsweise durch ein „[[return into libc]]“ ausführen.

== Betriebssysteme ==
Auf 64-Bit-x86-Systemen ([[x64]]: auch oft „x86_64“ oder „amd64“ bezeichnet) ist das NX-Bit in jedem Fall nutzbar. Auf 32-Bit-x86-Betriebssystemen ([[IA-32]], meist „x86“ oder „i386“) ist technisch das NX-Bit nur nutzbar, wenn auch [[Physical-Address Extension|PAE]] aktiviert ist.<ref>https://devblogs.microsoft.com/oldnewthing/20210510-00/?p=105200</ref> Bei älteren Betriebssystemen muss PAE noch manuell vom Benutzer aktiviert werden, etwa unter [[Microsoft Windows 2000|Windows 2000]]. Auch der [[Linux (Kernel)|Linux-Kernel]] kann auf IA-32 sowohl mit als auch ohne PAE konfiguriert werden; die Voreinstellung wurde jedoch Mitte der 2000er Jahre bald aktiviertes PAE bei den 32-Bit-Varianten von Windows, Mac OS X und Linux, und somit auch die Unterstützung für das NX- bzw. XD-Bit. [[OS/2]] bzw. dessen Nachfolger [[ArcaOS]] (vormals eComStation) hingegen nutzt PAE aus Gründen der Kompatibilität mit Treibern und Anwendungssoftware nicht. (Mit ArcaOS 5.1 von 2023 kam zwar PAE-Unterstützung hinzu, damit ist jedoch nur eine [[RAM-Disk]] nutzbar.)

=== Windows ===
Das Betriebssystem [[Microsoft Windows|Windows]] von [[Microsoft]] unterstützt DEP ab [[Microsoft Windows XP|Windows XP]] SP 2, sofern der jeweilige Prozessor die Möglichkeit bietet. Ab [[Microsoft Windows Vista|Windows Vista]] sind die Einstellungen dem Benutzer sichtbar (Systemeigenschaften → Erweitert → Leistung → Einstellungen → Datenausführungsverhinderung). [[Microsoft Windows 8|Windows 8]] und neuere Windows-Versionen können auf Prozessoren ohne NX-Bit nicht gestartet werden.<ref>https://support.microsoft.com/de-de/help/12660/windows-8-system-requirements</ref>

=== Linux ===
Für [[Linux]] wurde vom bei [[Red Hat]] angestellten Entwickler Ingo Molnar ein [[Patch (Software)|Patch]] zur Unterstützung des NX-Bit für den [[Linux (Kernel)|Linux-Kernel]] der 2.6er-Reihe entwickelt, der für Kernel 2.6.6 in [[Red Hat Linux]] zur Verfügung gestellt wurde.<ref name="heiseonline_101365">{{Heise online |ID=101365 |Titel=No eXecution für Linux |Autor=Jürgen Schmidt |Datum=2004-06-04 |Abruf=2022-09-18}}</ref><ref>{{Internetquelle |autor=corbet |url=https://lwn.net/Articles/87814/ |titel=x86 NX support |werk=[[LWN.net]] |datum=2004-06-02 |sprache=en |abruf=2024-04-06}}</ref> Im offiziellen Linux-Kernel ist der Patch ab Version 2.6.8 enthalten.

=== macOS ===
Das Betriebssystem für Computer von [[Apple]], [[macOS]] (früher „Mac OS X“ und „OS X“), unterstützt das NX-Bit seit der ersten Intel-Version (für [[Intel-Mac]]s) 10.4.4 „[[Mac OS X Tiger|Tiger]]“.<ref>{{Literatur |Autor=Muhammad Arif Butt, Zafar Iqbal Khan, Muhammad Idrees, Zarafshan Ajmal |Titel=An In-Depth Survey of Bypassing Buffer Overflow Mitigation Techniques; Applied Sciences |Hrsg=MDPI |Ort=Basel, Schweiz |Datum=2022-07-01 |Sprache=en |Seiten=11 |DOI=10.3390/app12136702 |Online=https://www.mdpi.com/2076-3417/12/13/6702 |Abruf=2024-04-06 |Zitat=The mac OS X 10.4.4 onwards supports NX bit on all Apple-supported processors.}}</ref>

== CPUs mit NX-Bit ==
Prozessoren mit dem NX-Bit-Feature lassen sich per Software an einem gesetzten 11. Bit im ''Extended Feature Enable Register'' erkennen. Dieses „model specific register“ lässt sich nur von privilegierter Software (Systemsoftware), also beispielsweise vom Betriebssystemkern, auslesen.

=== AMD ===
* [[AMD Athlon 64]] und Nachfolger
* [[AMD Opteron]]
* [[AMD Phenom]] und Nachfolger
* [[AMD Sempron]] (ab Paris)
* [[AMD Turion 64]] und Nachfolger
* [[AMD Ryzen]] und Nachfolger
=== Intel ===
* [[Intel Atom]]
* Intel [[Celeron]] (ab Conroe-L-Kern)
* Intel [[Celeron D]]
* Intel [[Celeron M]] (ab Dothan-Kern)
* [[Intel Core]] Solo, Duo und Nachfolger
* Intel [[Pentium 4]] (ab Prescott-F/J-Typ)
* Intel [[Pentium D]]
* Intel [[Pentium Dual-Core]]
* Intel [[Pentium Extreme Edition]]
* Intel [[Pentium M]] (ab Dothan, FSB533 alle Modelle, FSB400 nur Modelle mit CPU-ID 06D8h)
* Intel [[Xeon]] (ab Pentium D Kern)

=== Übrige ===
* [[Transmeta]] [[Efficeon]]
* [[VIA C7]]
* [[VIA Nano]]

== Weblinks ==
* [https://www.linux-magazin.de/ausgaben/2008/03/kern-technik/ ''Implementation''] ''von [[Address Space Layout Randomization|ASLR]] und NX/XD-Bit im Linux 2.6-Kernel''. [[Linux-Magazin]]
* [https://www.heise.de/newsticker/meldung/Verwundbar-trotz-No-Execute-135471.html ''Verwundbar trotz No Execute''.] [[Heise online]]

== Einzelnachweise ==
<references />

{{Navigationsleiste x86-Erweiterungen}}

[[Kategorie:Rechnerarchitektur]]

NX-Bit - Versionsgeschichte

imported>Dexxor: Wikipedia_Diskussion:Redaktion_Informatik#Datenbereich