Buenas, estaba leyendo éste artículo del Chema Alonso:
http://www.elladodelmal.com/2017/09/owasp-zsc-zeroday-cyber-research.html
que muestra una nueva herramienta para crear shellcodes ofuscados para insertarlos en los exploits. Mi duda es por qué un payload necesitaría ser ofuscado? Supuestamente el antivirus no es que solo analizaba el disco? Es decir, que es capaz de detectar archivos maliciosos? Pero en el caso de los exploits, consiguen tomar el control de la pc sin necesidad de ningún archivo, ya que utilizan al proceso vulnerable para ejecutar codigo, yendo directamente a memoria sin tocar el disco. Cómo es que un antivirus podría llegar a detectar una shellcode de un exploit si la misma no está ofuscada?
Gracias y saludos!