เคยบ้างไม๊ ที่เขียน shell code ส่งไปยังเป้าหมายไม่ได้ เพราะมีคำสั่ง nop (0x90) ในคำสั่งมากผิดปกติจนเจอ IDS ตรวจจับ ถ้าเคย เรามาดูวิธีการหลบเลี่ยง NOP Sled จาก IDS กัน
[hide=25]ก่อนอื่นต้องพูดถึง NOP Sled ก่อนว่าคืออะไร
NOP Sled คือ กลุ่มของรหัสคำสั่งที่ประกอบไปด้วย 0x90 ซึ่งเป็นคำสั่งในภาษา Assembly คือ NOP ที่หมายถึง ไม่ต้องทำอะไร มักจะถูกใช้ในกระบวนการ pipeline ต่างๆ เป็นอีก หนึ่งใน signature หรือ รหัสหนึ่งที่โดนตรวจจับได้ง่าย[/b]
เนื่องจากกลุ่มของคำสั่ง 0x90 เรียงกันนั้น ไม่ใช่เรื่องปกติ ดังนั้นกลไกลด้านความปลอดภัยจะต้องสังเกตเห็นแน่ๆ วิธีที่เราจะหลบเลี่ยงกระบวนการตรวจจับก็คือ เราสามารถใช้คำสั่งไบต์เดียวที่มีหน้าตาต่างจากเดิมแทนที่จะเป็น NOP โดยคำสั่งที่เราจะใช้นั้น คือคำสั่งในการบวกและลบค่าสำหรับหลายๆ รีจิสเตอร์
[code]inc eax