Аннотация:Рассмотрен узкий класс атак, удаленно эксплуатирующих уязвимости в распространенном программном обеспечении. Такие атаки – шеллкоды – эксплуатируют ошибку переполнения буфера. Выделены и описаны характерные признаки этих атак, построена классификация шеллкодов на основе признаков. Предложен метод обнаружения шеллкодов, решающий задачу минимизации ложных срабатываний при обеспечении полного покрытия выделенных классов шеллкодов, а также задачу минимизации временной сложности работы алгоритма.