下面就谈谈根据样本写Exploit生成器的快速取巧的方法，对DOC,PPT,XLS,RAR之类生孩子式Exp样本尤其适用。

步骤：
1、 Hook NtCreateFile 以及 Hook NtCreateProcessEx( or NtCreateSection) 监控文件创建以及新进程创建，当然为了省事，推荐使用SSM（一个小型HIPS，http://www.syssafety.com）

2、开启SSM（SSM也可换为自己写的功能类似的监控程序），然后运行DOC/PPT/XLS/RAR之类的样本

3、如果EXP有效，漏洞利用成功的话EXP创建后门进程时会被SSM截获。此时先不允许后门进程运行，将样本释放出的后门文件COPY一份。

4、用UE打开EXP样本，查找MZ头，获得后门文件在EXP样本中的偏移。再根据上面COPY出来的后门文件获得其文件大小，确定后门文件尾部所在偏移。

5、知道了后门文件在EXP的偏移以及后门文件的大小，我们就可以写快速生成器了：VC中将样本作为资源导入，生成器生成我们自己EXP的时候只要将资源种的样本载入内存，再根据后门文件在EXP样本中的偏移和大小，覆盖成我们自己的后门文件输出即可。当然，如果我们自己的后门文件大小不足EXP样本文件时还得用0x00补足，这样不会影响正常运行（自己的后门文件有CRC校验或者加了强壳例外）。