增强的缓解体验工具包（EMET）保护的应用程序在启用漏洞利用防护后崩溃

技术文章 ID: KB94840
上次修改时间: 2021/10/2

环境

McAfee Endpoint Security (ENS) 威胁防护 10.x
Microsoft增强的缓解体验工具包（EMET）

问题

您已启用 EMET Microsoft，并且针对 ENS 漏洞利用防护在其应用程序保护或基于特征码的规则中涵盖的进程添加了保护。启用 EMET 和 ENS 漏洞利用防护后，受这两个软件保护的进程崩溃。

以下是发生崩溃时记录日志条目的示例。

启用 EMET 时，在系统应用程序日志中：

类型：信息
来源： EMET
事件 ID： 50
描述：
EMET 服务状态为：正在运行 EMET 配置（应用程序缓解（注册表））： EMET 应用程序缓解 GPO配置（注册表）为：java.exe*\Java\jre7\binDEP SEHOP NullFlow EAF 强制ASLR BottomUpASLR LoadLib MemProt 调用程序 SimExecFlow StackPivot

当 EMET 关闭应用程序线程时：

Type: ERROR
Source: EMET
Event ID: 2
Description:
EMET detected Caller mitigation and will close the application: java.exe Caller check failed: Application : C:\Program Files (x86)\Java\jre7\bin\java.exe User Name : xxxx\xxx ...

当Windows错误报告（WER）处理崩溃时：

Type: ERROR
Source: Application Error
Event ID: 1000
Description:
Faulting application name: java.exe. version: x.x.x.xxx. time stamp: xxx Faulting module name: unknown. version: 0.0.0.0. time stamp: xxx Exception code: 0xc000001d ...

原因

ENS 漏洞利用防护 DLL 调用以下 DLL：HipHanlders64.dll,EpMPApi.dll和EpMPThe.dll. 这些 DLL 加载了emet.dll在同一进程线程中。

ENS 和 EMET 都跟踪线程 API 调用。这一情况会造成破坏条件，导致不良行为。

解决方案

EMET 是一种漏洞利用防护功能，可添加与 ENS 漏洞利用防护类似的保护。 McAfee Enterprise 不支持使用提供相同功能的其他安全解决方案。有关详细信息，请参阅：KB89595 - 不支持使用提供相同功能的第三方安全解决方案的 McAfee 产品.

有关 EMET 缓解指南，请参阅：EMET 缓解指南文章.

解决方法

为 ENS 漏洞利用防护保护的进程禁用 EMET。

免责声明

本文内容源于英文。如果英文内容与其翻译内容之间存在差异，应始终以英文内容为准。本文部分内容是使用 Microsoft 的机器翻译技术进行翻译的。

受影响的产品

语言:

此文章有以下语言版本：

Knowledge Center

增强的缓解体验工具包（EMET）保护的应用程序在启用漏洞利用防护后崩溃

环境

问题

原因

解决方案

解决方法

免责声明

受影响的产品

语言:

Title

Title

Knowledge Center

增强的缓解体验工具包 （EMET） 保护的应用程序在启用漏洞利用防护后崩溃

环境

问题

原因

解决方案

解决方法

免责声明

受影响的产品

语言:

选择您的区域

Title

Title

增强的缓解体验工具包（EMET）保护的应用程序在启用漏洞利用防护后崩溃