4.1 Γενικά

4.2 Παρατηρώντας τα Buffer Overflow Exploits με σκοπό την ανάπτυξη ενός αλγορίθμου εντοπισμού

4.2.1 Γενικά

4.2.2 Παρατηρώντας το ShellCode ή Exploit

4.2.3 Παρατηρώντας το RA

4.2.4 Παρατηρώντας το Sledge.

4.2.5 Οι Συνέπειες της Συμπεριφοράς του Sledge σαν παράγοντας για Anomaly Based Detection.

4.2.5.1 Το πρόβλημα της «Σύμπτωσης»

4.2.5.2 H λύση του προβλήματος της «σύμπτωσης»

4.2.6 Συμπεράσματα (ικανές συνθήκες για ΒΟΕ)

4.3 Abstract Execution of Payload ως αλγορίθμου εντοπισμού των B.O.E.

4.3.1 Γενικά

4.3.2 Προδιαγραφές αλγορίθμου Abstract Execution.

4.3.3 Ο Αλγόριθμος Abstract Execution(A.E.P)

4.3.4 Εντοπισμός του buffer overflow χρησιμοποιώντας τον αλγόριθμο A.E.P.

4.3.5 Τα προβλήματα της υλοποίησης του Αλγόριθμου Abstract Execution(A.E.P)

4.3.5.1 Βελτιστοποίησης του μηχανισμού πυροδότησης του A.E.P ώστε να μην γίνεται άσκοπη χρήση του.

4.3.5.2 Η επιλογή του μηχανισμού που θα βρίσκει τις E.I διατηρώντας την μέγιστης απόδοση

4.4 H αναζήτηση των πιθανών Return Addressees ως μηχανισμός επιβεβαίωσης (Validation) για τον αλγορίθμου εντοπισμού των B.O.E

4.4.1 Γενικά

4.4.2 Προδιαγραφές αλγορίθμου εντοπισμού(Finding of) των R.A

4.4.3 O Αλγόριθμος Validation via Findig RA (V.F.R.A)

4.4.4 Τα προβλήματα της υλοποίησης του Αλγόριθμου V.F.R.A και η λύση τους

4.4.4.1 Η επιλογή του Threshold

4.4.4.2 H «σύμπτωση» που προκαλέσει False Positive

4.4.5 H «Γεωμετρία» του πακέτου που περιέχει Buffer Overflow Exploit ως κριτήριο για την αποφυγή False Positive.

4.4.6 Συμπεράσματα για τον μηχανισμό Validation.

4.5 Η επιλογή του Threshold, το τελικό βήμα πριν την υλοποίηση

4.5.1 Γενικά

4.5.2 Εξαρτάται από το εκάστοτε πρωτόκολλο της Client-Server επικοινωνίας

4.5.2.1 Γενικά

4.5.3.2 Συμπέρασμα

4.5.3 Εξαρτάται από την ίδια την υλοποίηση του διαχειριστή του πρωτοκόλλου συνήθως σε επίπεδο Application

4.5.4 Εξαρτάται από το Buffer της ίδιας της εφαρμογής που θα εκμεταλλευτεί το B.O.E.

4.5.6 Εξαρτάται από τις τυχόν βιβλιοθήκες που θα χρησιμοποιεί η εφαρμογή που αυτές με την σειρά τους θα κληροδοτούν τις Buffer Overflow αδυναμίες τους σε αυτήν.

4.5.7 Συμπέρασμα για την επιλογή του Threshold

4.6 Πειραματικά δεδομένα για την επιλογή του Threshold και η διαφορά υλοποίησης από Apache module σε IDS.

4.6.1 Γενικά

4.6.2 Πειραματικά δεδομένα για την επιλογή του Threshold

4.7 Η επιλογή του Threshold

4.7.1 Η μαγική τιμή για το Threshold

4.7.2 Η επιλογή του RA_Threshold σε συνάρτηση με το Threshold του A.E.P

4.8 H διαφορά υλοποίησης από Apache module σε NIDS

4.8.1 Γενικά

4.8.2 Η Βασική δυσκολία κατά την υλοποίηση του A.E.P σε Ν.I.D.S

4.8.3 Άλλες Δυσκολίες

4.9 Σύνοψη – Παρατηρήσεις

4.9.1 Η εύνοια των συμπτώσεων και τα Heap Bases ΒΟΕ

Copyright © 2004
Powered by Internet Systematics Lab