Здравствуйте. В метасплойте есть эксплойт для уязвимости CVE-2012-0158 (ms12_027_mscomctl_bof). Так вот, выходной .doc файл детектится всем чем только можно. Вопрос: как вообще криптуются такого типа эксплойты, что нужно делать, чтобы убирать количество детектов?
Немного непонятная вещь... Рылся на wasm.ru, зашел сюда: http://www.wasm.ru/forum/viewtopic.php?id=47079 Скачал там файл (последний пост), эксплуатирующий вышеназванную уязвимость. Его палят только 7 аверов. Сравнил размеры файлов. Почему-то мой весит 10кб, скачанный - больше 100кб. Открыл оба файла в хекс редакторе для сравнения... Вообще ничем не похожи, даже близко, без совпадений вообще. Использую эксплойт windows/fileformat/ms12_027_mscomctl_bof (использую начинку эксплойта download_exec). Хотя файлы и эксплуатируют одну и ту же уязвимость, но они вообще разные, можете подсказать чем и как был сгенерирован файл на васме, как такой создать и прочее поподробнее расскажите пожалуйста.