微软日前向Windows Vista 和 XP操作系统的最新升级包增加与安全相关的API工具，从而进一步扩大其数字执行保护技术（DEP）的应用，这是微软的一项主要反木马技术。

    据国外媒体报道，微软安全工程与通信集团的一位首席项目经理迈克·霍华德表示，最新的API（公共程序接口）将包含在Vista SP1和Windows XP SP3升级版、以及将于本季充推出的全新操作系统Windows 2008中。

    霍华德是微软目前在任的最杰出的安全专家之一，他曾是“Writing Secure Code”的联合作者之一。霍华德表示，新款API应用之后，更多的开发者、特别是那些仍在使用旧版ATL (Active Template Library)的开发者在其应用中使用DEP技术。

    DEP又一个名称是NX（No eXecute的缩写），最初由微软在Windows XP SP2升级包中推出，后来扩展到Vista和Server 2008。该技术的主要目的是阻止那些只包含数据的代码在内存中执行，从而阻止代码的恶意利用和缓冲区外溢攻击等。使用旧版ATL的开发者可使用API工具在执行时间内，或在应用程序启动时运行DEP。在此之前，程序员必须提前做出决定，是否允许其软件运行DEP进行自我保护。

    霍华德表示，新款API中最重要的是“SetProcessDEPPolicy”，该工具用于设置运行进程的DEP规则。霍华德表示：“假如上载一个.dll文件时没有启动DEP，那么它就不会正常工作。新款API最关键之处在于，你可以在配置中进行设置，将DEP设置为默认启动项，这样所有的.dll文件都会自动得到保护。”新款API使得程序在运行时自动获得DEP支持，为开发者和用户提供了更多大灵活性。基于.dlls的应用程序可能无法与DEP兼容，或许是因为这些程序是为企业应用定制的，这些程序会不管对错，使用数据内存区来执行代码，因此可能会超出反攻击保护的范围。

    霍华德表示：“新工具现在可以使所有的应用程序都得到保护，即便开发者使用的是旧版ATL。DEP是非常好的防护工具，因此我们希望开发者使用起来更方便。”

    新款API还允许程序员将DEP的控制权交给用户，霍华德表示，“假如你支持DEP，但希望用户在遇到严重的兼容问题时也可以关闭DEP，那么这正好是你想要的API，因为这一切都可以在配置中进行设置。”

    新款API的推出时间不是什么秘密，霍华德表示，“我们将其添加到最新的升级包中，是因为它本身非常重要。”微软本季度内推迟了Vista SP1的发布日期，但业界猜测可能于近几周内发布。Windows XP SP3升级包预计在今年前半年发布，Windows Server 2008的发布时间定在本月底。