3/6

進捗報告

Snort古典論文読み

　Snortの古典論文を読んでいた．1999に書かれたもので，Snortのバージョンは1.2.1である．現在のSnortのバージョンはもうmajor versionが3を超えているから，相当昔．この論文ではSnortの構成とできること，サブシステムの構成などについて紹介している．特に重要なのはDetection Engineの部分だと思うが，ここでは，ルールのデータ構造が紹介されていて，これが二次元の連結リストになっている．文字列のパータンマッチングについては，詳細に説明されていないからわからないけど，おそらく正規表現でのマッチングとかはこの時はやっていなかったのか，例示されているコードがシグネチャのベタ書きになっている．この場合，難読化された攻撃コードなどへの対応は難しくなると思うが，当時は，そこまで問題になっていなかったのだろうか．詳しい実装はコードを追ってみないとわからない．高速化のための議論は色々中でされていて，そもそもタイトルに lightweight っていうのが入っているので，軽量化のためのシステム設計を考える上では参考にすべき点が多くあるだろう．

picogym問題解き

　今日はbinary exploitationのheap2を解いた．今回はこれまで食わず嫌いして使ってこなかったradare2とpwntoolsを使いながら解いてみた．pwntoolsは色々関数があるのだが，recvとsendの使い方をきちんとわかってれば良い感じだった．関数のアドレスを調べるときにradare2も使ってみたけど，このツールをきちんと使いこなすためには更なる訓練が必要．問題自体は大体は自力で解けていたのでよしとする．サンプルフラグのファイルを作るのを忘れてて，すでに正解を得るスクリプトは書けてるのに，なんでできないんだとか言って悩んだりしていた．ただのバカ．