黑客针对缓冲区溢出版权办理绕过IDS的方式-【专注于数字资产管理,数字资产交易,版权保护,版权交易,数据安全】墨者安全科技
墨者链--数字资产保护与交易_数字版权保护与交易_数字内容_数据信息安全保护与交易平台!墨者链--专业数字资产版权保护与交易平台!

主页 > 数字版权保护与交易 > 黑客针对缓冲区溢出版权办理绕过IDS的方式

黑客针对缓冲区溢出版权办理绕过IDS的方式

墨者安全数字资产版权交易平台 2019-04-29 16:07 数字版权保护与交易 89 ℃
IDS作为企业安全防护的分量级产品,数字信息安全,数字资产版权,自然也成为了黑客试图攻破的目标。事实证明,绕过IDS防护举行袭击是彻底能够实现版权办理的,接下来的文章里就将简述黑客袭击时怎么经过针对缓冲区溢出绕过IDS。
 
版权办理
 
其中:N表示NOP,S表示shellcode,R表示返回地址; n表示通过编码的NOP,d为解码器,数字资产交易,s表示通过编码的shellcode,r表示返回地址。
 
通过ADMmutate伪装的shellcode能够逃过使用模式匹配同时利用字符串匹配的大部分NIDS!只是假如NIDS还依赖长度,可打印字符等等综合推断,则ADMmutate依旧别能逃脱NIDS的监视,然而依赖长度、可打印字符等推断未必准确,以此推断版权办理会造成IDS漏报或误报。只是,关于使用模式匹配的NIDS来讲,目前仍只能经过长度等简单的推断!
 
本文要紧说述经过NIDS检测远程缓冲区的漏洞,在黑客进攻时对自个儿举行伪装,欺骗NIDS检测,达到绕过IDS并举行袭击的目的。
 
只是,一个加密shellcode的程序ADMmutate,利用了名为多形态代码的技术,使袭击者可以潜在的改变代码结构来欺骗很多入侵检测系统,但它别大概破坏最初的袭击性程序。溢出程序经它一改,就能够摇身一变,而且由于采纳了动态改变的技术,每次伪装的shellcode都别相同,本来NIDS依赖提取公开的溢出程序的特征码来检测报警,特征码变了后就能够达到绕过IDS的目的。
 
一些NIDS检测远程缓冲区的要紧方式是经过推断数据包的内容是否包括/bin/sh或者是否含有大量的NOP。针对IDS的这种检测办法,有的溢出程序的NOP思量到用eb02代替,但这种方式目前也基本成为一些版权办理NIDS检测是否为缓冲区溢出时匹配的标志。


当前位置:主页 > 数字版权保护与交易 > 黑客针对缓冲区溢出版权办理绕过IDS的方式

猜你喜欢

标签列表
网站分类