如何逃避缓冲区溢出检测?
正确答案:
一些NIDS检测远程缓冲溢出的主要方式是通过监测数据载荷里是否包含“/bin/sh”或是否含有大量的NOP。针对这种识别方法,某些溢出程序的NOP考虑用“eb02”代替。另外,目前出现了一种多形态代码技术,使攻击者能潜在的改变代码结构来欺骗许多NIDS,但它不会破坏最初的攻击程序。经过伪装的溢出程序,每次攻击所采用的shellcode都不相同,这样降低了被检测的可能。有些NIDS能依据长度、可打印字符判断这种入侵,但会造成大量的错报。
答案解析:有
微信扫一扫手机做题