Le slitte NOP espongono lo shellcode?

1

Ho notato la seguente frase su Wikipedia .

Since intrusion detection can detect signatures of simple shellcodes being sent over the network, it is often encoded, made self-decrypting or polymorphic to avoid detection.

Gli encoder possono camuffare lo shellcode. Tuttavia, i payload vengono spesso forniti con slitte leader e / o finali NOP. Un IDS non può semplicemente cercare slitte NOP per rilevare lo shellcode?

    
posta 16.12.2016 - 09:38
fonte

1 risposta

3

Gli IDS cercheranno le slitte di nop, ma possono anche essere mascherate. Considera che qualsiasi istruzione che sia:

  • valido ed eseguibile
  • Continuerà l'esecuzione da qualche parte nella fossa nop tra sé e il carico utile
  • Non ha alcun effetto sui registri critici (stack pointer)

È valido per il nostro scopo. Finché una sequenza di istruzioni nella slitta è un punto di partenza valido (che finirà al nostro carico utile), avremo una slitta priva di errori. Se stiamo bene non essendo al 100%, possiamo essere ancora più creativi con la nostra slitta.

Scopri i generatori nop disponibili per metasploit per alcune idee su come puoi renderlo, per lo meno costoso per IDS per rilevare le slitte.

    
risposta data 16.12.2016 - 09:57
fonte

Leggi altre domande sui tag