根据样本写Exploit生成器的捷径

 时间就是知识，时间就是财富，时间就是……  所以如何快速简便的根据漏洞样本写自己的利用程序也是比较有价值的。

    下面就谈谈根据样本写Exploit生成器的快速取巧的方法，对DOC,PPT,XLS,RAR之类生孩子式Exp样本尤其适用。

步骤：
1、 Hook NtCreateFile 以及 Hook NtCreateProcessEx( or NtCreateSection) 监控文件创建以及新进程创建，当然为了省事，推荐使用SSM（一个小型HIPS，http://www.syssafety.com）

中国网管论坛bbs.bitsCN.com

2、开启SSM（SSM也可换为自己写的功能类似的监控程序），然后运行DOC/PPT/XLS/RAR之类的样本

中国网管联盟bitsCN.com

3、如果EXP有效，漏洞利用成功的话EXP创建后门进程时会被SSM截获。此时先不允许后门进程运行，将样本释放出的后门文件COPY一份。 网管网www_bitscn_com

4、用UE打开EXP样本，查找MZ头，获得后门文件在EXP样本中的偏移。再根据上面COPY出来的后门文件获得其文件大小，确定后门文件尾部所在偏移。 网管bitscn_com

5、知道了后门文件在EXP的偏移以及后门文件的大小，我们就可以写快速生成器了：VC中将样本作为资源导入，生成器生成我们自己EXP的时候只要将资源种的样本载入内存，再根据后门文件在EXP样本中的偏移和大小，覆盖成我们自己的后门文件输出即可。当然，如果我们自己的后门文件大小不足EXP样本文件时还得用0x00补足，这样不会影响正常运行（自己的后门文件有CRC校验或者加了强壳例外）。