web-dev-qa-db-ja.com

NOPスレッドはシェルコードを公開しますか?

Wikipedia に次の文があることに気づきました。

侵入検知は、ネットワークを介して送信される単純なシェルコードのシグネチャを検出できるため、多くの場合、検出を回避するために暗号化され、自己復号化または多態化されます。

エンコーダーはシェルコードを偽装できます。ただし、ペイロードは多くの場合、先頭または末尾のNOPスレッドと一緒に配信されます。 IDSはシェルコードを検出するために単にNOPスレッドをスキャンするだけではありませんか?

2
user68527

IDSはnopスレッドを探しますが、マスクすることもできます。次のような指示を考慮してください。

  • 有効かつ実行可能
  • 自身とペイロードの間のnopスレッドのどこかで実行を継続します
  • 重要なレジスタには影響しません(スタックポインタ)

私たちの目的に有効です。スレッド内の一連の命令が有効な開始点(ペイロードで終わる)である限り、エラーのないスレッドが作成されます。 100%でなくても問題がない場合は、そりでさらに創造性を高めることができます。

IDSがスレッドを検出するのに最低でも費用がかかる方法については、metasploitで利用可能なnopジェネレーターを確認してください。

5
Tim