8 Simple NOP Sled NOPs0 x 90 Onebyte

Sign up to view full document!

相關研究透過滑動區段判斷是否為變形蟲 [8] Simple NOP Sled NOPs(0 x 90) One-byte NOP equivalents Sled 使用沒有重大意義的指令(指令長度為

相關研究透過滑動區段判斷是否為變形蟲 [8] Simple NOP Sled NOPs(0 x 90) One-byte NOP equivalents Sled 使用沒有重大意義的指令(指令長度為 1個位元組) Ex: 使暫存器+1 Multi-byte NOP equivalents Sled One-byte NOP equivalents Sled 的延伸 Wireless Network Security Lab

靜態偵測蠕蟲方法 Trampoline sled 部份偵測滑動區段的方法是利用執行長度所有位元組都用jump類型指令 Obfuscated Trampolinesled Multi-byte NOP equivalents Sled與Trampoline Sled的結合 Wireless Network

靜態偵測蠕蟲方法 Trampoline sled 部份偵測滑動區段的方法是利用執行長度所有位元組都用jump類型指令 Obfuscated Trampolinesled Multi-byte NOP equivalents Sled與Trampoline Sled的結合 Wireless Network Security Lab

動態偵測蠕蟲方法 STRIDE [8] 0 1 2 3 4 5 6 7 8 9 10

動態偵測蠕蟲方法 STRIDE [8] 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 Wireless Network Security Lab 15 16 17 …

載具說明隨機選取： 1. Encrypt algorithm 2. share key Exploit code 將exploit code進行加密設置滑動區段： STASLD

載具說明隨機選取： 1. Encrypt algorithm 2. share key Exploit code 將exploit code進行加密設置滑動區段： STASLD | DYNSLD 設置躲避偵測機制： STAFAKE 設置填充區段 Wireless Network Security Lab

實驗實驗環境躲避偵測頻譜分析 Wireless Network Security Lab

實驗實驗環境躲避偵測頻譜分析 Wireless Network Security Lab

實驗環境使用的蠕蟲 Blaster(2003)、 Sasser(2004) 偵測的方式 Snort STRIDE Wireless Network Security Lab

實驗環境使用的蠕蟲 Blaster(2003)、 Sasser(2004) 偵測的方式 Snort STRIDE Wireless Network Security Lab

各位元組佔連線比例統計 Wireless Network Security Lab

各位元組佔連線比例統計 Wireless Network Security Lab

各位元組與正常網路行為差異程度 Wireless Network Security Lab

各位元組與正常網路行為差異程度 Wireless Network Security Lab

End~ Wireless Network Security Lab

End~ Wireless Network Security Lab

Slides: 24

Download presentation