Ho notato la seguente frase su Wikipedia .
Since intrusion detection can detect signatures of simple shellcodes being sent over the network, it is often encoded, made self-decrypting or polymorphic to avoid detection.
Gli encoder possono camuffare lo shellcode. Tuttavia, i payload vengono spesso forniti con slitte leader e / o finali NOP. Un IDS non può semplicemente cercare slitte NOP per rilevare lo shellcode?
Gli IDS cercheranno le slitte di nop, ma possono anche essere mascherate. Considera che qualsiasi istruzione che sia:
È valido per il nostro scopo. Finché una sequenza di istruzioni nella slitta è un punto di partenza valido (che finirà al nostro carico utile), avremo una slitta priva di errori. Se stiamo bene non essendo al 100%, possiamo essere ancora più creativi con la nostra slitta.
Scopri i generatori nop disponibili per metasploit per alcune idee su come puoi renderlo, per lo meno costoso per IDS per rilevare le slitte.