如何逃避缓冲区溢出检测？

一些NIDS检测远程缓冲溢出的主要方式是通过监测数据载荷里是否包含“/bin/sh”或是否含有大量的NOP。针对这种识别方法，某些溢出程序的NOP考虑用“eb02”代替。另外，目前出现了一种多形态代码技术，使攻击者能潜在的改变代码结构来欺骗许多NIDS，但它不会破坏最初的攻击程序。经过伪装的溢出程序，每次攻击所采用的shellcode都不相同，这样降低了被检测的可能。有些NIDS能依据长度、可打印字符判断这种入侵，但会造成大量的错报。

略