Estoy tratando de detectar un desbordamiento de búfer usando OSSEC (un software HIDS) como se menciona en Ejemplo de reglas OSSEC y .
¿Cómo puedo configurar OSSEC para detectar un ejemplo simple de desbordamiento de búfer de la siguiente manera?
#include <string.h>
#include <stdio.h>
void main(int argc, char *argv[]) {
char buffer[100];
strcpy(buffer, argv[1]);
printf("Done!\n");
}
Tenga en cuenta que OSSEC es un HIDS basado en registros, ya que está claro que OSSEC solo podrá reaccionar si alguien (por ejemplo, un demonio) agrega un registro que coincida con alguna regla de desbordamiento de búfer.
Consulte el ejemplo de código oficial que ha mencionado.
Saludos cordiales,
Si está buscando la detección de ataques de etapa uno (shellcode en un proceso), está EMET, WDEG aka EMET II (para Windows) y Lotan (multiplataforma).
Leviathan Security ha publicado en Lotan al menos dos veces aquí:
EMET ha sido capaz de ser similar a través del 3.0 Notifier o 5.5 Event-Log mecanismos.
Lea otras preguntas en las etiquetas audit software buffer-overflow ids hids