Эксплойт для MS Word, как убрать детекты?

Discussion in 'Песочница' started by Zmaster_, 6 Apr 2013.

  1. Zmaster_

    Zmaster_ New Member

    Joined:
    5 Apr 2013
    Messages:
    0
    Likes Received:
    0
    Reputations:
    0
    Здравствуйте. В метасплойте есть эксплойт для уязвимости CVE-2012-0158 (ms12_027_mscomctl_bof). Так вот, выходной .doc файл детектится всем чем только можно. Вопрос: как вообще криптуются такого типа эксплойты, что нужно делать, чтобы убирать количество детектов?
     
  2. Zmaster_

    Zmaster_ New Member

    Joined:
    5 Apr 2013
    Messages:
    0
    Likes Received:
    0
    Reputations:
    0
    Немного непонятная вещь... Рылся на wasm.ru, зашел сюда:
    http://www.wasm.ru/forum/viewtopic.php?id=47079
    Скачал там файл (последний пост), эксплуатирующий вышеназванную уязвимость. Его палят только 7 аверов. Сравнил размеры файлов. Почему-то мой весит 10кб, скачанный - больше 100кб. Открыл оба файла в хекс редакторе для сравнения... Вообще ничем не похожи, даже близко, без совпадений вообще. Использую эксплойт windows/fileformat/ms12_027_mscomctl_bof (использую начинку эксплойта download_exec).
    Хотя файлы и эксплуатируют одну и ту же уязвимость, но они вообще разные, можете подсказать чем и как был сгенерирован файл на васме, как такой создать и прочее поподробнее расскажите пожалуйста.
     
  3. Prosta4ok

    Prosta4ok New Member

    Joined:
    25 Oct 2012
    Messages:
    61
    Likes Received:
    0
    Reputations:
    0
    меняй структуру файла и не будет палиться
     
  4. Zmaster_

    Zmaster_ New Member

    Joined:
    5 Apr 2013
    Messages:
    0
    Likes Received:
    0
    Reputations:
    0
    Спасибо кэп :) Но только вопрос то был как и чем?