Instructiuni de tip NOP (0x90) apar in exploit-uri de tip buffer overflow si sunt folosite ca sa completeze zona de memorie care este exploatata. Asadar un sir destul de lung de astfel de numere care apar consecutiv intr-un stream, pot fi indicatia unei incercari de patrundere ilegala. Daca este vorba insa doar de una sau doua astfel de instructiuni care apar una dupa alta, atunci poate fi doar o intamplare. De exemplu se transfera un fisier de intregi si care se intampla sa aibe numarul 37008(in zecimal, care in hexa este 9090) de doua ori la rand. In hexa asta va apare: 90909090, adica patru octeti cu NOP. Sper sa-ti fie de ajutor ce am scris mai sus. Dragos
On Tue, Oct 19, 2004 at 10:46:41AM +0300, Catalin(ux aka Dino) BOIE wrote: > > Trag concluzia , gresita sau nu, va rog spuneti-mi ca acest "nop apare > > cind se face download/upoload ??? > > Ce este de fapt ? (El sustine ca e virus, incorect, presupun, ca eu de > > pe linux lucrez) > > Lungimea header-ului TCP trebuie sa fie multiplu de 4 bytes. > Daca nu e, apare acest nop (sau mai multi) care sint adaugati pina cind > header-ul este multiplu de 4. Deci pot sa apara pina la 3 nop-uri intr-un > pachet tcp (1 nop are 1 byte). > > Deci, admin-ul ar trebui sa se aboneze aici. > > --- > Catalin(ux aka Dino) BOIE > catab at deuroconsult.ro > http://kernel.umbrella.ro/ > > --- > Detalii despre listele noastre de mail: http://www.lug.ro/ > > -- -- Attached file included as plaintext by Ecartis -- -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.0.6 (GNU/Linux) Comment: For info see http://www.gnupg.org iD8DBQFBdSXVONlM6PUJv7kRAnFsAJwKOPVga3sAX8Kjh8DhuHudzvAj3ACdGWln KqxsJiXLj2hSzCGZshEh4Qc= =rac/ -----END PGP SIGNATURE----- --- Detalii despre listele noastre de mail: http://www.lug.ro/
