Observé la siguiente oración en Wikipedia .
Dado que la detección de intrusos puede detectar firmas de códigos shell simples que se envían a través de la red, a menudo se codifica, se descifra a sí mismo o se hace polimórfico para evitar la detección.
Los codificadores pueden camuflar shellcode. Sin embargo, las cargas útiles a menudo se entregan con trineos NOP iniciales y / o finales. ¿Podría un IDS no simplemente escanear trineos NOP para detectar shellcode?
Los IDS buscarán nop trineos, pero también se pueden enmascarar. Considera que cualquier instrucción que sea:
Es válido para nuestro propósito. Siempre que cualquier secuencia de instrucciones en el trineo sea un punto de inicio válido (que terminará en nuestra carga útil), tendremos un trineo sin errores. Si estamos de acuerdo con que no sea del 100%, podemos ser aún más creativos con nuestro trineo.
Echa un vistazo a los nop generadores disponibles para metasploit para obtener algunas ideas sobre cómo puedes hacer que, al menos, sea caro para que IDS detecte trineos.