Shellcode: differenze tra le versioni

Il firewall può fornire una protezione aggiuntiva contro un attaccante, anche se il sistema è vulnerabile, impedendo in maniera preventiva di ottenere l'accesso alla shell creata dall'esecuzione dello shellcode. Questa è una delle ragioni del perché a volte viene utilizzata una socket re-using shellcode, perché non creando nuove connessioni risulta più difficile da identificare e bloccare.

 

 

Download and execute è un tipo di shellcode remoto che effettua un [[download]] ed esegue una qualche forma di malware sul sistema bersaglio. Questo tipo di shellcode non crea una shell, ma istruisce la macchina di scaricare un certo file eseguibile dalla rete, salvarlo su disco e poi eseguirlo. Al giorno d'oggi, è comunemente utilizzato negli attacchi [[drive-by download]], quando una vittima visita un sito malevolo che cerca di avviare un download e di eseguire una shellcode per installare software sulla macchina vittima. Una variazione di questo tipo di shellcode è “download and loads a library”.<ref>{{Cita web|url=http://skypher.com/index.php/2010/01/11/download-and-loadlibrary-shellcode-released/

L'inserimento dello shellcode è spesso fatta immagazzinando il codice nei dati inviati sulla rete al processo vulnerabile, rendendolo disponibile in un file che viene letto dal processo o attraverso la riga di comando o variabili di ambiente nel caso si tratti di exploit locali.

 

 

Dato che molti processi filtrano o limitano i dati che possono essere inseriti, spesso lo shellcode deve essere scritto per superare queste restrizioni, rendendo il codice piccolo, privo di [[null]] o caratteri alfanumerici. Sono state trovate diverse soluzioni per aggirare queste restrizioni: