Sto cercando di rilevare l'overflow del buffer usando OSSEC (un software HIDS) come menzionato in Esempio di regole OSSEC e OSSEC book .
Come posso configurare OSSEC per rilevare un semplice esempio di overflow del buffer come il seguente:
#include <string.h>
#include <stdio.h>
void main(int argc, char *argv[]) {
char buffer[100];
strcpy(buffer, argv[1]);
printf("Done!\n");
}
Ricorda che OSSEC è un HID basato su log - sapendo che è chiaro che OSSEC sarà in grado di reagire solo se qualcuno (ad es .: un demone) aggiunge un log che corrisponde a una regola di overflow del buffer.
Guarda l'esempio di codice ufficiale che hai menzionato.
Cordiali saluti,
Se stai cercando il rilevamento di attacchi stage-one (shellcode in un processo), c'è EMET, WDEG aka EMET II (per Windows) e Lotan (multipiattaforma).
Leviathan Security ha pubblicato su Lotan almeno due volte qui:
EMET è stato capace di simili attraverso il Notifier 3.0 o 5.5 Event-Log meccanismi.
Leggi altre domande sui tag software audit buffer-overflow ids hids