微软缓解应急工具包(EMET)

微软的增强缓解应急工具包（EMET），是一个工具箱，可以帮助阻止软件中的漏洞被利用的实用程序。

佛罗里达中部大学的计算机科学与工程方向副教授伊尔·金认为，EMET通过使用安全缓解技术来实现此目的。这些技术用作特殊防护和阻挡，导致利用者必须攻克障碍才能利用软件漏洞。这些安全缓解技术不保证这些漏洞不被利用。而是尽量使漏洞的利用变得尽可能困难。

微软公司再度推出EMET5.1正式版，新版本增强了其兼容性，同时也对原有的安全方案进行了优化和改进。

软件简介：

除了传统的第三方安全产品、杀毒软件为Windows平台提供安全防护外，微软也为Windows桌面平台，尤其是WindowsVista、Win7等旧版操作系统提供额外的安全防护方案，其中最具代表性为EMET工具（EnhancedMitigationExperienceToolkit，直译为增强缓解体验工具）。

它能为旧版Windows平台和应用程序(包括第三方应用程序)提供最新的安全方案和技术，比如随机地址空间分配(ASLR)、数据执行保护(DEP)，让用户免受未修复漏洞的影响并保护用户不受攻击，而不管这些漏洞是已知的还是未知的。

EMET产品的重要作用在于预防各类未知的零日漏洞，也被微软视为Win7、Win8、Win8.1系统最后的安全防线。EMET工具也一直用于保护Windows系统最核心、重要的安全区域，用户可以定义安全规则或者使用EMET默认规则，增强当前系统的安全系数。

更新日志：

EnhancedMitigationExperienceToolkit5.1更新日志：

解决了若干与IE、AdobeReader、AdobeFlash、Mozilla火狐以及部分EMET减灾方案的兼容性问题；

部分减灾方案得到优化和强化，使之能更好地反弹和绕开攻击；

增加“LocalTelemetry”特性，允许用户在启用减灾方案时节省本地存储转储；

使用方法

EMET的界面非常简单，分为系统状态区（systemstatus）和活动进程区（runningprocesses）。

系统状态区用来查看系统的受保护状态：数据执行保护（DEP）、结构化异常处理覆盖保护（SEHOP）和随机地址空间分配（ASLR）的开启情况。

活动进程区用来查看当前的活动进程和它们的受保护状态。

利用EMET更改安全设置

在系统状态区下面有一个configuresystem按钮，用它可以更改DEP、SEHOP、ASLR的状态。（有些设置需要重启才能生效。）

利用EMET保护活动进程

在活动进程区下有一个configureapps按钮，用它可以保护进程。

单击它，会弹出一个applicationconfiguration对话框，下面的add按钮用来加入受保护的程序，remove用来移除程序。再单击ok就可以了。

Tags:EMET,漏洞.