NOPスレッドはシェルコードを公開しますか?
Wikipedia に次の文があることに気づきました。
侵入検知は、ネットワークを介して送信される単純なシェルコードのシグネチャを検出できるため、多くの場合、検出を回避するために暗号化され、自己復号化または多態化されます。
エンコーダーはシェルコードを偽装できます。ただし、ペイロードは多くの場合、先頭または末尾のNOPスレッドと一緒に配信されます。 IDSはシェルコードを検出するために単にNOPスレッドをスキャンするだけではありませんか?
IDSはnopスレッドを探しますが、マスクすることもできます。次のような指示を考慮してください。
- 有効かつ実行可能
- 自身とペイロードの間のnopスレッドのどこかで実行を継続します
- 重要なレジスタには影響しません(スタックポインタ)
私たちの目的に有効です。スレッド内の一連の命令が有効な開始点(ペイロードで終わる)である限り、エラーのないスレッドが作成されます。 100%でなくても問題がない場合は、そりでさらに創造性を高めることができます。
IDSがスレッドを検出するのに最低でも費用がかかる方法については、metasploitで利用可能なnopジェネレーターを確認してください。