Hola gente tengo un problema.... estoy intentando quitar la firma del nod32 con el avfucker y hex workshop. Pero resulta que solo me queda el offset donde esta esto:
RtlMoveMemory

Y no se puede tocar! Hay alguna otra manera? Porfavor!

Hola Thearing. Ya no se puede quitar la firma con el Avfucker o con el Fudsonly locator de Psymera.Hace unos meses sí. Ahora no. Tampoco con el editor hexadecimal. La cosa es más compleja, tenés que usar el Ollydbg, tenés que agregar saltos (jmp) !Es un kilombo!

si lo imagine.... El metodo leos funcionara?
viewtopic.php?t=8892&f=8#p109839

Dcime asi empiezo a leerlo :P

Es video tutorial nunca lo pude abrir. Ni siquiera con el Jet audio que abre cualquier formato basura. Mcphiros me había pasado un programa para abrirlo, pero se me arruinó la pc virtual, creé otra y lo perdí. La verdad es que no se si funcionará. Ni te molestes en abrir con el windows media ni con el jet Audio.

Es un html con un swf el html visualisa el swf lo subieron hace poquitito de nuevo porque se habia roto el link.....

Entonces no hay manual para sacarlo?

Si te digo te miento.Si es a través del método Rit sí, supongo que se podrá.Según lo poco que leí en este mismo foro la clave está en correr de lugar las librerías en donde justamente el querido Nod pone sus tan simpáticas firmas. Bueno, eso de mover las librerías o salteárselas sin tocarlas se hace con el Ollydbg.
Ya somos dos, los que queremos burlar el Nod, ademas del McAfee y del Avira.!Bienvenido al club!
Pero en cualquier momento algún experto te ayudará.

estan seguros de ke no se puede kitar con hex??? , yo pienso ke si se puede


saludos

No no se puede al menos mi stub no... Ahora veo el manual del metodo RIT.... vos decis para mover la parte de RtlMoveMemory al final donde hay ceros... y hacer un JMP despues? En eso consiste no?

Hola Espatarramonjas. Si sabés cómo dejar un servidor indetectable ante el Nod 32 decílo, por favor.Antes me reía yo del Nod, ahora el Nod de burla de mí. Me está arruinando el cerebro.Se turnan los av, por momento me dedico al Nod, por momentos al Avira y a veces al Mc Afee. !Maldita tríada!

pon una imagen del hexworkshop a ver, tal vez mi tutorial te sirva. (Quitando Firmas de la IID)

No se puede quitar con el metodo RIT ni con HEX por que es una API y las apis no se pueden mover o modificar asi de facil

Ok entonces no existe manual o forma de hacer indetectable al nod32??????????????????????? Porque me estas diciendo no no se puede ni rit ni hex pero tampoco das otra solucion.... Igual gracias por aclarar... pero decime porfavor si se puede hacer algo!

bloodday escribió:pon una imagen del hexworkshop a ver, tal vez mi tutorial te sirva. (Quitando Firmas de la IID)

si esa firma esta donde creo que esta mi tuto te va a servir. buscalo en manuales y tutoriales, esta en la segunda o la tercera pagina.

saludos

thearing escribió:Ok entonces no existe manual o forma de hacer indetectable al nod32??????????????????????? Porque me estas diciendo no no se puede ni rit ni hex pero tampoco das otra solucion.... Igual gracias por aclarar... pero decime porfavor si se puede hacer algo!

Yo ni siquiera se como quitarla , pero proba el metodo Leos puede funcionar

Aca te dejo la foto del HEX mira...