Здравствуйте, eboev, Вы писали:

E>В этом байт-коде есть последовательность \x63\x6D\x64 = cmd, shell код поднимает cmd на машине жертвы. Но вот что странно: я анализировал все входящие пакеты на машине жертвы с помощью Wireshark и не встретил там последовательности cmd, как shell коду удалось запустить cmd.exe?

Ну во-первых шелл-код мог быть разбит, например, на 2 и конец первого пакета содержал, например, \x63, а начала второго — \x6D\x64.
Во-вторых некоторые эксплойты могут поддерживать шифрование шелл-кода для обхода сигнатурных систем обнаружения сетевых атак и расшифровывать его перед подсовыванием дырявому приложению.
Попробуйте сначала поискать в перехватываемом трафике другую последовательность байт из шелл-кода и далее поищите.
Посмотрите также не разбивается ли шелл-код на несколько пакетов.