Здравствуйте, -prus-, Вы писали:

P>Ну во-первых шелл-код мог быть разбит, например, на 2 и конец первого пакета содержал, например, \x63, а начала второго — \x6D\x64.
P>Во-вторых некоторые эксплойты могут поддерживать шифрование шелл-кода для обхода сигнатурных систем обнаружения сетевых атак и расшифровывать его перед подсовыванием дырявому приложению.
P>Попробуйте сначала поискать в перехватываемом трафике другую последовательность байт из шелл-кода и далее поищите.
P>Посмотрите также не разбивается ли шелл-код на несколько пакетов.

Спасибо
Я решил проанализировать что обыно делают шеллкоды и пришел к выводу:
1)запускают шелл
2)вызывают отказ в обслуживании, создавая много новых потоков.
3)открывают порт (обычно с номером > 1024)

Я не нашел гуглом никаких аналитических отчетов, по этому вопросу, посмотрю базу эксплоитов Metasploit Framework. Если у кого есть киньте пожалуйста ссылочку на подобную информацию.