Buscamos ayuda de expertos para jugar a Zhengtu Blue Screen en Windows 1.
Prevención de ejecución de datos
¿Cuál es el papel de la prevención de ejecución de datos?
La Prevención de ejecución de datos (DEP) es un conjunto de tecnologías de hardware y software que realizan comprobaciones adicionales en la memoria para ayudar a evitar la intrusión de código malicioso. En Windows XP SP2, DEP se implementa mediante hardware y software.
DEP aplicado por hardware
El DEP aplicado por hardware marca todas las ubicaciones de memoria en un proceso como no ejecutables a menos que la ubicación contenga explícitamente código ejecutable. Un programa de ataque intenta insertar código en una ubicación de memoria no ejecutable y ejecutar el código. Al interceptar este código y generar una excepción, la Prevención de ejecución de datos ayuda a proteger contra estos ataques.
El DEP aplicado por hardware se basa en el hardware del procesador para marcar la memoria de modo que la memoria tenga atributos que indiquen que el código aquí no debe ejecutarse. La Prevención de ejecución de datos funciona por página de memoria virtual, normalmente modificando un bit de datos en la entrada de la tabla de páginas (PTE) para marcar la memoria.
La implementación de hardware específica de DEP y el método de marcado de las páginas de memoria virtual variarán según la arquitectura del procesador. Sin embargo, los procesadores que admiten DEP aplicado por hardware generarán una excepción si el código se ejecuta desde una página marcada con el conjunto de propiedades correspondiente.
¿Microequipos avanzados? (AMD) e Intel? La empresa define y lanza una arquitectura compatible con Windows para la prevención de la ejecución de datos.
A partir del Service Pack 2 de Windows XP, las versiones de 32 bits de Windows comenzaron a utilizar la función de procesador de protección de página de no ejecución (NX) definida por AMD o la función de bit de desactivación de ejecución definida por Intel. Para utilizar estas funciones del procesador, el procesador debe ejecutarse en modo de dirección física extendida (PAE). Las versiones de 64 bits de Windows XP utilizan funciones de procesador NX en extensiones de 64 bits y algunos valores en el campo Entrada de tabla de páginas de acceso (PTE) en procesadores IPF.
Se espera que todos los procesadores futuros de 32 y 64 bits admitan la protección de ejecución de datos implementada por hardware. Microsoft seguirá trabajando con los fabricantes de procesadores para promover la aplicación y el desarrollo de la tecnología DEP.
DEP aplicado por software
Se agregó otro conjunto de comprobaciones de seguridad de Protección de ejecución de datos a Windows XP SP2. Estas funciones de verificación, también conocidas como DEP aplicadas por software, están diseñadas para reducir el uso de los mecanismos de manejo de excepciones de Windows. El DEP forzado por software puede ejecutarse en cualquier procesador que ejecute Windows XP SP2. De forma predeterminada, el DEP forzado por software solo protege un número limitado de archivos binarios del sistema, independientemente de las capacidades DEP forzado por hardware del procesador.
¿Para quién es adecuada esta función?
Los desarrolladores de aplicaciones y controladores deben comprender la prevención de ejecución de datos y lo que se requiere para ejecutar software en plataformas compatibles. Las aplicaciones que generan código JIT en tiempo real o ejecutan memoria desde la pila o el montón de procesos predeterminados deben tomar en serio los requisitos de DEP.
Recomendamos a los desarrolladores de controladores que presten atención al modo PAE en plataformas que admiten protección de ejecución de datos aplicada por hardware. El comportamiento del modo PAE en los sistemas Windows XP Service Pack 2 se ha cambiado para mejorar la compatibilidad del controlador.
¿Qué nuevas características agrega esta característica en Windows XP Service Pack 2?
Prevención de Ejecución de Datos en versiones de 32 bits de Windows y aplicaciones.
Descripción detallada
DEP aplicado por hardware
Aunque existen algunas diferencias, el comportamiento general de Prevención de ejecución de datos es el mismo en versiones de 32 y 64 bits. Versiones de bits de Windows exactamente iguales.
Para brindar coherencia a los desarrolladores de aplicaciones y controladores, el modelo de protección de la memoria (incluida la prevención de ejecución de datos) está diseñado para comportarse de manera idéntica en las versiones de Windows de 32 y 64 bits.
Los desarrolladores de aplicaciones deben comprender el comportamiento de DEP en modo usuario. Las excepciones de DEP en modo usuario causarán status_access_violation (0xc 0000005) en sistemas Windows. El primer parámetro de ExceptionInformation (en la estructura EXCEPTION_RECORD) contiene el tipo de infracción de acceso que ocurrió. Si el valor en ExceptionInformation[0] es 8, la infracción de acceso es una infracción de ejecución.
En la mayoría de los procesos, la excepción STATUS_ACCESS_VIOLATION será una excepción no controlada que hará que el proceso finalice.
DEP también funciona con controladores en modo kernel. En el modo kernel, DEP en las regiones de memoria no se puede habilitar o deshabilitar selectivamente. En las versiones de 32 bits de Windows, la protección de ejecución de datos se aplica a la pila de forma predeterminada. Esto es diferente del DEP en modo kernel en las versiones de 64 bits de Windows, donde se utiliza protección de ejecución de datos para la pila, el grupo de páginas y el grupo de sesiones.
Si DEP está habilitado, el controlador del dispositivo no puede ejecutar código en la pila. Una infracción de acceso a DEP en modo kernel dará como resultado el error de verificación 0x fc: try_execute_of_no enable_memory.
DEP forzado por software
El DEP forzado por software realiza comprobaciones adicionales en los mecanismos de manejo de excepciones en Windows. Si el archivo de imagen de un programa se creó utilizando funciones SafeSEH, el DEP aplicado por software garantizará que el controlador de excepciones se registre en la tabla de funciones del archivo de imagen antes de enviar la excepción.
Si el archivo de imagen del programa no se creó utilizando SafeSEH, el DEP aplicado por software garantizará que el controlador de excepciones ubicado en el área de memoria se haya marcado como ejecutable antes de enviar la excepción.
¿Por qué es importante este cambio? ¿Qué amenazas ayuda a mitigar?
El principal beneficio de la prevención de ejecución de datos es que ayuda a prevenir la ejecución de código desde páginas de datos como el montón predeterminado, varias pilas y grupos de memoria. En el funcionamiento normal del sistema, el código normalmente no se ejecuta desde el montón o pila predeterminados. El DEP aplicado por hardware detectará el código que se ejecuta desde estas ubicaciones y generará excepciones cuando se ejecute el código. Si no se maneja la excepción, el proceso terminará. La ejecución de código en la memoria protegida en modo kernel puede provocar errores de instrumentación.
Los errores de detección pueden provocar la finalización del proceso o una falla del sistema, lo que puede no parecer una experiencia de usuario ideal, pero puede ayudar a prevenir la ejecución de código malicioso. Evitar que se ejecute código malicioso en el sistema puede evitar que el sistema se dañe o que se propague código malicioso. Los efectos dañinos de estos códigos maliciosos son mucho mayores que el impacto de la terminación del proceso causada por errores de detección.
DEP ayuda a mitigar ciertas brechas de seguridad. En particular, si un virus u otro ataque inserta código adicional en un proceso e intenta ejecutar el código insertado, la Prevención de ejecución de datos evita este comportamiento. En sistemas que admiten DEP, la ejecución del código insertado generará una excepción. El DEP aplicado por software ayuda a reducir el uso de los mecanismos de manejo de excepciones de Windows.
Otro beneficio de DEP está relacionado con una buena experiencia en ingeniería de software y las mejores prácticas para los desarrolladores de aplicaciones y controladores. La Prevención de ejecución de datos puede obligar a los desarrolladores a evitar ejecutar código fuera de la página sin marcar explícitamente la página como ejecutable.
¿Qué características han cambiado?
Compatibilidad de aplicaciones
Algunos comportamientos de aplicaciones pueden ser incompatibles con la Prevención de ejecución de datos. Las aplicaciones que realizan generación de código dinámico (como la generación de código en tiempo real) y las aplicaciones que no pueden marcar explícitamente el código generado como ejecutable pueden tener incompatibilidades con la Prevención de ejecución de datos.
Para aplicaciones que no se crean con SafeSEH, sus controladores de excepciones deben estar ubicados en el área de memoria ejecutable.
Las aplicaciones que intenten violar el DEP recibirán una excepción con el código de estado status_access_violation(0xc 0000005). Si una aplicación requiere memoria ejecutable, debe establecer explícitamente esta propiedad en la memoria correspondiente especificando PAGE_EXECUTE, PAGE_EXECUTE_READ, PAGE_EXECUTE_READWRITE o PAGE_EXECUTE_WRITECOPY en el parámetro de protección de memoria de la función de asignación de memoria virtual *. Los montones asignados mediante las funciones malloc() y HeapAlloc() no son ejecutables.
Compatibilidad de controladores
Los problemas de compatibilidad causados por la ejecución de datos y controladores se concentran principalmente en problemas de compatibilidad causados por el modo PAE.
Tenga en cuenta que PAE solo se requiere en sistemas cuyos procesadores admitan DEP aplicado por hardware.
El propio DEP puede causar problemas de compatibilidad con controladores que realizan generación de código o que utilizan otras técnicas para generar código ejecutable sobre la marcha. Los controladores cargados en versiones de 64 bits de Windows siempre tienen DEP habilitado, por lo que muchos controladores con el comportamiento anterior deben corregirse, pero no hay garantía de que todos estos controladores se hayan actualizado. Sin embargo, sólo unos pocos controladores utilizan estas tecnologías y no esperamos que DEP cause una gran cantidad de problemas de compatibilidad de controladores.
El principal problema con la compatibilidad de los controladores es ejecutar el modo de extensión de dirección física (PAE) en sistemas de 32 bits. El modo PAE permite que el procesador direccione más de 4 GB de espacio de almacenamiento. La principal diferencia entre el modo de paginación de memoria PAE y el modo de paginación de memoria no PAE es que el modo PAE requiere un nivel de paginación adicional (nivel 3 en lugar de nivel 2).
Es posible que algunos controladores no se carguen si PAE está habilitado porque es posible que el dispositivo no pueda realizar direccionamiento de 64 bits o que el controlador crea que el modo PAE requiere más de 4 GB de RAM. Dichos controladores siempre deben recibir direcciones de 64 bits en modo PAE y ellos (o sus dispositivos) no pueden interpretar dichas direcciones.
En el modo PAE, puede cargar otros controladores modificando directamente la entrada de la tabla de páginas del sistema (PTE), pero esto provocará inestabilidad en el sistema. Se esperaba que estos controladores usaran PTE de 32 bits, pero recibieron PTE de 64 bits en modo PAE.
Los mayores problemas de compatibilidad de controladores PAE implican transferencias de acceso directo a memoria (DMA) y asignaciones de registros mapeados. Muchos dispositivos compatibles con DMA (normalmente adaptadores de 32 bits) no pueden realizar direccionamiento físico de 64 bits. Cuando se ejecuta en modo de 32 bits, el dispositivo es direccionable en todos los espacios de direcciones físicas. En el modo PAE, la dirección física de los datos puede tener más de 4 GB de espacio. En este caso, para permitir que el dispositivo funcione dentro de estas restricciones, la familia de productos Windows 2000 Server (y productos posteriores) proporciona doble almacenamiento en búfer para transacciones DMA al proporcionar una dirección de 32 bits indicada por un registro de mapa. El dispositivo puede realizar transacciones DMA en direcciones de 32 bits y el kernel copiará la memoria a la dirección de 64 bits proporcionada al controlador.
Cuando el sistema se ejecuta con PAE desactivado, los controladores para dispositivos de 32 bits ya no necesitarán memoria real para admitir sus registros mapeados. Esto significa que el doble almacenamiento en búfer no es necesario ya que todos los dispositivos y controladores están contenidos en el espacio de direcciones de 32 bits. Según las pruebas de controladores de dispositivos de 32 bits en computadoras equipadas con procesadores de 64 bits, se puede considerar que la mayoría de los controladores de clientes probados que admiten DMA esperan registros de mapas ilimitados.
Para reducir los problemas de compatibilidad, Windows XP Service Pack 2 incluye modificaciones en la Capa de abstracción de hardware (HAL), que emula el comportamiento DMA del HAL de 32 bits. El HAL modificado permite registros mapeados ilimitados cuando el sistema se ejecuta en modo PAE.
Además, el administrador de memoria del kernel ignora todas las direcciones físicas superiores a 4 GB. Cualquier RAM del sistema superior a 4 GB no es direccionable en Windows y no está disponible en el sistema. Al limitar el espacio de direcciones a 4 GB, los dispositivos con administración de bus DMA de 32 bits no verán transacciones con direcciones superiores a 4 GB. Debido a que estas modificaciones eliminan la necesidad de transacciones con doble buffer, evitan un error en algunos controladores relacionado con la implementación correcta del soporte de doble buffer.
Estas modificaciones al HAL y al administrador de memoria minimizan el impacto de la compatibilidad del controlador de dispositivo en sistemas que ejecutan Windows XP Service Pack 2 con la Prevención de ejecución de datos habilitada.
Compatibilidad del sistema
La última pregunta sobre la compatibilidad de DEP proviene de los sistemas que admiten el modo PAE, aunque es posible que no estén diseñados para más de 4 GB de memoria física. Microsoft notó durante las pruebas que algunos sistemas que utilizan procesadores DEP que admiten forzado de hardware se ejecutan en modo PAE y, a veces, los sistemas no pueden iniciarse sin problemas o tienen otros problemas de estabilidad.
El modo PAE es necesario para aprovechar las capacidades del procesador NX. Por lo tanto, los diseñadores de sistemas y los ingenieros de firmware deben darse cuenta de que los sistemas pueden funcionar en modo PAE aunque el chipset y el firmware del sistema no estén diseñados para admitir más de 4 GB de RAM física.
Un punto de especial preocupación es el firmware del sistema, que interpreta las entradas de la tabla de páginas para determinar las instrucciones que debe ejecutar el sistema operativo. Cuando el procesador se ejecuta en modo PAE, la longitud de las entradas de la tabla de páginas se extiende a 64 bits. Los diseñadores de sistemas y desarrolladores de firmware deben comunicarse con los fabricantes de procesadores y conjuntos de chips para aprender cómo determinar de manera segura las instrucciones que debe ejecutar el sistema operativo.
¿Pueden los diseñadores de sistemas que utilizan procesadores AMD acceder a AMD Athlon? Guía para desarrolladores de BIOS y kernel para procesadores 64 y AMD Opteron. Para acceder a este documento técnico, visite AMD Athlon? 64url/enlacefw/? LinkId=28165 y haga clic en "Guía para desarrolladores de BIOS y kernel para procesadores AMD Athlon? 64 y AMD Opteron" (Guía para desarrolladores de BIOS y kernel para procesadores AMD Athlon? 64 y AMD Opteron).
Intel no proporciona públicamente detalles sobre el modo de administración del sistema-SMM. Los diseñadores de sistemas que utilizan procesadores Intel pueden comunicarse directamente con Intel para obtener más información.
Para obtener más información sobre la compatibilidad de Windows con el modo PAE, consulte "Extensiones de direcciones físicas: memoria PAE y Windows" en el sitio web de Microsoft.
¿Cómo solucionar estos problemas?
Las aplicaciones que requieren un área de memoria ejecutable deben utilizar el atributo PAGE_EXECUTE, PAGE_EXECUTE_READ, PAGE_EXECUTE_READWRITE o PAGE_EXECUTE_WRITECOPY al asignar memoria. Además, las aplicaciones no pueden ejecutarse desde el montón o pila de procesos predeterminados. La mayoría de las aplicaciones que realizan operaciones que son incompatibles con la funcionalidad DEP deberán actualizarse para que sean compatibles. Además, las aplicaciones deben crearse utilizando SafeSEH o asegurarse de que sus controladores de excepciones estén en la memoria marcados explícitamente como ejecutables.
Las aplicaciones pueden utilizar la interfaz de programación de aplicaciones (API) VirtualAlloc() para asignar memoria ejecutable con las opciones de protección de memoria correspondientes. Se debe utilizar al menos la opción de protección de memoria PAGE_EXECUTE. Después de generar el código ejecutable, se recomienda que las aplicaciones configuren la protección de la memoria para no permitir el acceso de escritura a la memoria asignada. Las aplicaciones pueden denegar el acceso de escritura a la memoria asignada mediante la API VirtualProtect(). No permitir el acceso de escritura garantiza la máxima protección de la región ejecutable del espacio de direcciones del proceso.
Si un proceso malicioso intenta insertar código en el área ejecutable, este acceso provocará una excepción de escritura STATUS_ACCESS_VIOLATION. Las aplicaciones deben mantener la región ejecutable de su espacio de direcciones lo más pequeña posible. La superficie de ataque se puede reducir decidiendo qué memoria ejecutable se puede insertar en el espacio de direcciones del proceso y ejecutar.
Además, las aplicaciones maduras pueden controlar el diseño de su memoria virtual y crear regiones ejecutables. Estas aplicaciones deberían intentar ubicar la región ejecutable en un espacio de memoria menor que la región no ejecutable. El propósito de colocar el área ejecutable debajo del área no ejecutable es evitar el desbordamiento del búfer en la memoria ejecutable.
Algunos archivos ejecutables y bibliotecas pueden contener código ejecutable en la parte de datos del archivo de imagen. En algunos casos, una aplicación puede colocar varios fragmentos de código pequeños (a menudo llamados procesadores) en la sección de datos. Sin embargo, la prevención de ejecución de datos marca la parte del archivo de imagen cargada en la memoria como no ejecutable a menos que se le aplique el atributo ejecutable.
Por lo tanto, el código ejecutable en el segmento de datos debe migrarse al segmento de código, o el segmento de datos que contiene el código ejecutable debe marcarse explícitamente como ejecutable. El atributo ejecutable image_SCN_mem_execute(0x 20000000) debe agregarse al campo de características en el encabezado del segmento correspondiente que contiene el código ejecutable.
El vinculador de Microsoft distribuido con los productos Microsoft Visual Studio puede agregar atributos ejecutables a las secciones usando la opción del vinculador /SECTION. El formato de la opción del vinculador /SECTION es el siguiente:
/SECTION: nombre, [e] [r] [w] [s] [d] [k] [l] [p] [x ] [, align = #]
El valor de e representa un atributo ejecutable (0x20000000). Para obtener más información sobre /SECTION y otras opciones del vinculador de Microsoft, visite el sitio web de MSDN /fwlink/? LinkId=28167 .
Además, la utilidad Microsoft COFF Binary Editor (Editbin.exe) se puede utilizar para modificar los atributos de segmento de imágenes existentes. La utilidad Editbin tiene la opción /SECCIÓN en el siguiente formato:
/SECCIÓN: nombre [=nuevo nombre][,[[! ]{ CDEIKOMPRSUW }][A { 1248 ptsx }]]
Los valores de e y c representan código y atributos ejecutables respectivamente. Para obtener más información sobre la utilidad Editbin y la opción /SECTION, consulte el sitio web de MSDN /fwlink/? LinkId=28168 .
Microsoft planea actualizar Microsoft. NET Framework V1.0 y v1.1 para aprovechar DEP en Windows XP SP2. Confíe en las aplicaciones de Microsoft. NET Framework seguirá funcionando normalmente pero no se beneficiará de la funcionalidad DEP, incluso si está habilitada.
Microsoft anima a los desarrolladores de aplicaciones a redistribuir Microsoft. NET Framework actualizado a Microsoft. NET Framework v 1.0 Service Pack 3 o v 1.1 Service Pack 1 para aprovechar DEP cuando esté disponible.
¿Qué configuraciones se agregaron o cambiaron en Windows XP Service Pack 2?
Configuración DEP a nivel del sistema
La configuración de protección de ejecución de datos a nivel del sistema está controlada por conmutadores Boot.ini. Además, los cambios en "Sistema" en el Panel de control pueden hacer que sea muy conveniente para los usuarios finales configurar los ajustes de DEP (suponiendo que el usuario final haya iniciado sesión en el sistema como administrador).
Para DEP aplicado por hardware y software, Windows admite cuatro configuraciones a nivel de sistema.
Descripción de la configuración
OptIn (opcional)
(configuración predeterminada)
Si hay un procesador en el sistema que puede implementar hardware Al forzar la función DEP, DEP se habilitará de forma predeterminada para archivos binarios del sistema limitados y aplicaciones de "uso selectivo".
De forma predeterminada, al usar esta opción, DEP solo sobrescribirá los archivos binarios del sistema de Windows.
Salir (optar por no participar)
DEP está habilitado para todos los procesos de forma predeterminada. Los usuarios pueden crear manualmente una lista de aplicaciones específicas a las que no se aplica la Prevención de ejecución de datos usando Sistema en el Panel de control. Los profesionales de TI y los proveedores de software independientes (ISV) pueden utilizar el kit de herramientas de compatibilidad de aplicaciones para seleccionar una o más aplicaciones que no estén protegidas por DEP. Las correcciones de compatibilidad del sistema (shims) del DEP entrarán en vigor.
Usar siempre (siempre usar)
Pone todo el sistema bajo la protección de DEP. Todos los procesos siempre se ejecutarán con DEP aplicado. La lista de excepciones para proteger aplicaciones específicas de ataques DEP no está disponible. Las correcciones de compatibilidad del sistema (shims) del DEP no tendrán efecto. Las aplicaciones seleccionadas mediante el kit de herramientas de compatibilidad de aplicaciones también se ejecutarán con DEP.
AlwaysOff (siempre apagado)
Independientemente de si el hardware DEP es compatible, ninguna parte del sistema está protegida por DEP. El procesador no se ejecutará en modo PAE a menos que se seleccione la opción /PAE en el proyecto de inicio.
Los DEP implementados por hardware y software se configuran de la misma forma. Si la política DEP a nivel del sistema está configurada para optar por participar, los archivos binarios y las aplicaciones del kernel de Windows estarán protegidos por DEP aplicado por hardware y software. Si el sistema no puede ejecutar DEP implementado por hardware, las aplicaciones y los archivos binarios del kernel de Windows solo estarán protegidos por DEP implementado por software.
De manera similar, si la política DEP a nivel del sistema está configurada para excluirse, las aplicaciones excluidas de la protección DEP estarán protegidas por DEP aplicado por hardware y software.
Las cuatro configuraciones DEP a nivel del sistema están controladas por conmutadores boot.ini. La configuración de Boot.ini es la siguiente:
/noexecute=Nivel de política
Entre ellos, el nivel de política se define como AlwaysOn, AlwaysOff, OptIn u OptOut.
Al instalar Windows XP SP2 o mover una imagen del sistema operativo Windows entre computadoras que admiten y no la función DEP aplicada por hardware, cualquier configuración /noexecute existente en el archivo Boot.ini no cambiará.
Durante la instalación de Windows XP SP2, la selección de un nivel de política está habilitada de forma predeterminada, a menos que se especifique un nivel de política diferente en una instalación desatendida. Si la configuración de nivel de política /noexecute= no aparece en el proyecto de inicio para una versión de Windows que admite DEP, el comportamiento es el mismo que cuando se incluye la opción /noexecute=OptIn.
Los usuarios finales que hayan iniciado sesión como administrador pueden configurar manualmente DEP entre las políticas de participación y exclusión mediante la pestaña Prevención de ejecución de datos en el cuadro de diálogo Propiedades del sistema. El siguiente procedimiento describe cómo configurar DEP manualmente en su computadora:
1.
Haga clic en Inicio, haga clic en Panel de control y luego haga doble clic en Sistema.
2.
Haga clic en la pestaña Avanzado. Luego, en Rendimiento, haga clic en Configuración.
3.
Haga clic en la pestaña Prevención de ejecución de datos.
4.
Haga clic en "Habilitar DEP solo para programas y servicios esenciales de Windows" para seleccionar la política de selección.
5.
Haga clic en Habilitar DEP para todos los programas y servicios (excepto los seleccionados) para cancelar la política.
6.
Si seleccionó la política de exclusión voluntaria, haga clic en Agregar y agregue las aplicaciones que no desea usar DEP.
Los profesionales de TI pueden controlar la configuración de DEP a nivel del sistema de varias maneras. Puede modificar el archivo Boot.ini directamente según el mecanismo de secuencias de comandos o utilizando la herramienta Bootcfg.exe incluida en Windows XP SP2.
Al instalar Windows XP SP2 en modo desatendido, puede utilizar el archivo Unattend.txt para preestablecer configuraciones DEP específicas. Puede especificar la configuración DEP a nivel del sistema utilizando la entrada "OSLoadOptionsVar" en la sección "[Datos]" del archivo Unattend.txt.
DEP de aplicación preconfigurada
Cuando DEP se establece en el nivel de política de "exclusión voluntaria", DEP se puede desactivar selectivamente para aplicaciones individuales de 32 bits para compatibilidad de aplicaciones.
Para los usuarios finales, puede desactivar selectivamente DEP para una aplicación utilizando la pestaña Prevención de ejecución de datos en Propiedades del sistema.
Para los profesionales de TI, Windows XP Service Pack 2 incluye una nueva solución de compatibilidad de aplicaciones llamada DisableNX. La solución de compatibilidad de DisableNX puede desactivar la Prevención de ejecución de datos para los programas a los que se aplica.
Las correcciones de compatibilidad de DisableNX se pueden aplicar a las aplicaciones a través del kit de herramientas de compatibilidad de aplicaciones. Para obtener más información sobre la compatibilidad de aplicaciones de Windows, consulte el sitio web de Microsoft /fwlink/? "Compatibilidad de aplicaciones de Windows" en LinkId=23302.