Предыстория: я написал скрипт на Python для проверки IP-пакетов, в частности полезной нагрузки/данных пакета, чтобы определить, можно ли его использовать при переполнении буфера (стека). Теперь, насколько я понимаю, NOP-цепочка используется для заполнения стека, чтобы указатель инструкций в конечном итоге попадал в ваш код эксплойта, это я могу легко обнаружить, ища повторяющиеся вхождения 0x90. Я видел код с большим количеством команд NOP до 8 в случае SQL Slammer, поэтому я мог бы использовать как минимум 8.
Теперь мой вопрос: часто ли сани NOP используются в законном коде? Если ответ «да», есть ли какие-то конкретные случаи (что означает, что я могу найти эти случаи, а затем исключить пакет как потенциально безвредный) или этот подход просто нецелесообразен для выявления вредоносного кода?