• О проекте
  • Услуги
  • Заказать услугу
  • Новости
  • Блог
  • Глоссарий
  • Контакты
  • Блог

    Двоичный шелл-код

    Двоичный, исполняемый код, который в большинстве случаев передает управление командному процессору, называется шелл-код. Обычно он используется в качестве полезной нагрузки в эксплойте и дает возможность злоумышленнику получить доступ к командной оболочке в любой компьютерной системе – MS-DOS, Microsoft Windows или же UNIX shell.

    Двоичный шелл-код

    Как ни странно этот код, как и большинство других уязвимостей, находится в портах ТСР. Сущность работы его заключается в том, что он открывает этот порт в уязвимом компьютере, через который и будет производить все дальнейшие зловредные операции, в частности он получает доступ к командной оболочке системы. Помимо этого он может быть подключен и к компьютеру атакующего, в данном случае это производится для получения возможности обхода брандмауэра или NAT. Такой шелл-код, называется «обратной оболочкой».

    Вообще этот код в большинстве случаев, внедряется непосредственно в саму память, той программы, которая будет эксплуатироваться. После этого производится процесс передачи управления, посредством переполнения стека протокола, используя атаки форматной строки или же переполнения буфера. Сам процесс передачи управления этому коду состоит в том, что производится новая запись адреса возврата в стеке, адресом внедренного шелл-кода, а также перезаписью тех адресов, которые вызывают определенные функции или изменяют обработчиков прерываний. Разумеется, что результатом является выполнение этого кода, что представляет собой возможность использования командной строки злоумышленником.

    Разумеется, что преступники, использующие этот метод, пишут такие коды, которые используют приемы, скрывающие атаку на систему. Естественно, что производится определенный анализ выяснения того, как системы обнаружения вторжений находят каждую атаку. Огромное множество СОВ просматривают абсолютно все входящие пакеты данных, на наличие той структуры, которая как раз используется в шелл-кодах. Обычно такая структура представляет собой, ничем не приметную, бестолковую информацию, то есть мусор. В том случае если СОВ обнаруживает такую структуру, то пакет с такими данными уничтожается, прежде чем достигнет цели. Но имеется у таких систем обнаружения и один недостаток и он заключается в том, что они не осуществляют достаточно хороший, детальный поиск, который может понадобиться для того, чтобы раскрыть шелл-код. Все дело в том, что в таком случае будет затрачено большое количество времени, и интернет соединение будет замедлено.