Здравствуйте. В метасплойте есть эксплойт для уязвимости CVE-2012-0158 (ms12_027_mscomctl_bof). Так вот, выходной .doc файл детектится всем чем только можно. Вопрос: как вообще криптуются такого типа эксплойты, что нужно делать, чтобы убирать количество детектов?

Немного непонятная вещь... Рылся на wasm.ru, зашел сюда:

http://www.wasm.ru/forum/viewtopic.php?id=47079

Скачал там файл (последний пост), эксплуатирующий вышеназванную уязвимость. Его палят только 7 аверов. Сравнил размеры файлов. Почему-то мой весит 10кб, скачанный - больше 100кб. Открыл оба файла в хекс редакторе для сравнения...Вообще ничем не похожи, даже близко, без совпадений вообще. Использую эксплойт windows/fileformat/ms12_027_mscomctl_bof (использую начинку эксплойта download_exec).

Хотя файлы и эксплуатируют одну и ту же уязвимость, но они вообще разные, можете подсказать чем и как был сгенерирован файл на васме, как такой создать и прочее поподробнее расскажите пожалуйста.

меняй структуру файла и не будет палиться

Спасибо кэп Но только вопрос то был как и чем?