تو این مقاله قصد داریم تا در رابطه با یکی از روش ها یا در واقع تکنیک هایی که در دنیای هک و امنیت زیاد هم ازش استفاده میشه بنام شل کد ها (Shellcode) صحبت کنیم. خب اول بریم و ببینیم که شل کد (Shellcode) یا در معنی لغوی کد پوسته چیه؟ :)
در دنیای هک ، کد پوسته یا (Shellcode) , یک قطعه کوچیک از کد مخرب هست که به عنوان یک بسته یا اصطلاحا محموله درون آسیب پذیری نرم افزار ها و سیستم ها مورد استفاده قرار میگیره.وظیفه شل کد این هست که معمولاً دستورات اجرایی رو راه اندازی می کنه که با استفاده از اون مهاجم می تونه دستگاه آسیب پذیری که مورد نفوذ واقع شده رو کنترل بکنه ، در حالت کلی می تونیم بگیم هر قطعه کد که وظیفه شبیه به این عملیات رو انجام می ده می تونه یک کد شل نامیده بشه.
بسته به هدف مهاجم و گرفتن دسترسی از دستگاهی که قصد نفوذ به اون رو داره شل کد ها میتونن به دو دسته کلی بندی بشن :
پیاده سازی شل کد ها از طریق دانلود و اجرای نوعی بدافزار در سیستم مورد نظر هست. این نوع (Shellcode) پوسته ای ایجاد نمی کنه ، بلکه به سیستم دستور می ده تا یک فایل اجرایی خاص رو از شبکه دانلود بکنه، روی دیسک ذخیره و اجرا بکنه. امروزه ، معمولاً در این نوع حملات دانلود کردن توسط درایو انجام می شه ، جایی که قربانی از یک صفحه وب مخرب بازدید می کنه که به نوبه خودش سعی می کنه نوعی فایل مخرب از پیش تعیین شده رو بارگیری کرده و کد شل را اجرا بکنه تا نرم افزار روی دستگاه قربانی نصب بشه. مزایای این تکنیک این هست که کد مخرب این قابلیت رو داره تا کوچکتر باشه ، این که نیازی به کد شل یا پوسته برای ایجاد یک فرآیند جدید در سیستم مورد نظر نیست و این که کد شل نیازی به کد جدید برای پاکسازی فرایند مورد نظر نداره
از دیوار آتش (Firewall) می تونیم برای تشخیص اتصالات خروجی ایجاد شده توسط شل کد های معکوس و همچنین اتصالات ورودی ایجاد شده توسط (Bindshell) ها استفاده کنیم. بنابراین فایروال ها می تونن با جلوگیری از اتصال مهاجم به شل یا پوسته ایجاد شده توسط (Shellcode)، حتی در صورت آسیب پذیری سیستم ، مقداری امنیت رو در برابر مهاجم ارائه بکنند. این یکی از دلایلی هست است که گاهی اوقات از سوکت استفاده می شه بخاطر اینکه اتصال جدیدی ایجاد نمی کنه و بنابراین تشخیص و مسدود کردن اون هم توسط فایروال سخت تر میشه.
امیدوارم لذت برده باشید :)))