ウイルス対策ソフトウエアなんかはシェルコードの特徴をもとにパターン解析してたりしそうだけど、それってどういう解析をしてるのだろうかなあ。どこかで聞いたIDSネタにもシェルコードベースでの捕捉っていうのがあったっけ。それでデータベースを小さくして、精度もかなり出せたとか聞いたんだけどなあ。
IDSのパケットから通信のアセンブルする部分ってぇのは、対IDS偽装の洗礼を浴びて耐性がついてるけど、その後の考え方は数年前から基本的に変わってないし、弱点も変わってないもんね。でも、ああいう仕組みはことごとくOSに実装されててもいいような気がするし、となるとそんな重たい仕組みではサーバーたりえないからなー。軽くて精度が高くて、とか考えると、シェルコードをキーにして解析、っていうのは今のところはけっこう有効な手段であるように思えるのだけど・・・。
そういえば以前OSCのSnortユーザー会でそのワンアイディアだけのプレゼンをしたけど、実装を途中で放り出したまんまだ(笑)。そろそろやってみるかなー。
