Bueno amigos no es por nada pero a-queared no le puedo sacar la firma

Encontre la firma esta aqui

Pero al modificarla el stud se me rompe y la llevo al OllyDbg pero en los tutos siempre me pierdo cuando llega esa parte

El Stud ya lo modifique antes de buscar las firmas aqui esta por si me quieren ayudar
[Enlace externo eliminado para invitados]

Cuando estoy buscando las firmas primarias me borra todos los offsets creo que tiene doble firma pero esta la halle la del offset 184 peor no la puedo modificar
en un tuto encontre esta misma situacion pero hay que usar el Topo y el Topo cuando abro el Stud se me cierra el programa :S

Gracias

Mira te recomiendo Av Tools de pysmera para sacar el a-squared, enseguida te dejo un manual de como se utiliza.

http://www.indetectables.net/foro/viewt ... f=8&t=8892

Suerte.

hola brother te explico algo rapidisimo ya que en mi pais son las 3:14AM
1) utilixe el offset locator V3.1
2) Si estas aprendiendo te recomiendo que empiexes por ese Antivirus.. Bueno yo aprendi hex con ese Av
3) al utilizar el offset locator V3.1 escaneo con el av en la primera y me doy cuenta k me va eliminar todas las "Firmas" quiere decir que tiene 2 firmas(Gen.Trojan!IK y Riskware.Win32.VBInject!IK) al pasar el AV al stub me da la firma Gen.Trojan!IK

Bueno agarre y pense si ese Fuc av me elimino todas entonces puede que este un poquito mas arribita del offset (en este caso firma) 2000. Entonces agarre el offset 631 y le cambie por el valor 01 pues desaparecio la primera firma y solo me queda la firma Riskware.Win32.VBInject!IK

4) Utilizo una vez mas el offset locator V3.1 ahora ya puedo trabajar mas tranquilo ya que me queda solo una firmita .... llego que el no detectado es el offset 7977(FF), pero segun mi ojo vionico(bueno mas que nada por la experiencia en esto brother sin presumirme claro esta) algo me dice que no tengo que tocar ahi porque rompere el stub asi es que cambie en el offset 7972(00) Y lo cambie por 01.

scan del Stub

Report generated: 1.10.2009 at 10.17.50 (GMT 1)
Filename: stub.exe
File size: 28 KB
MD5 Hash: 6d2db8aa047fc68d3efdc8465963be26
SHA1 Hash: 1C9A8C5068214CD3ECC008571A33B4B5EECCD281
Self-Extract Archive: Nothing found
Binder Detector: Nothing found
Detection rate: 3 on 23

Detections

a-squared - -
Avira AntiVir - TR/Crypt.XPACK.Gen
Avast - -
AVG - -
BitDefender - Gen:Trojan.Heur.VB.bmW@eOot!Tdi
ClamAV - -
Comodo - -
Dr.Web - -
Ewido - -
F-PROT6 - -
Ikarus T3 - -
Kaspersky - -
McAfee - -
NOD32 v3 - -
Norman - -
Panda - -
QuickHeal - Suspicious
Solo Antivirus - -
Sophos - -
TrendMicro - -
VBA32 - -
VirusBuster - -
ZonerAntivirus - -

[Enlace externo eliminado para invitados]

PD:este metodo creo que no es de agrado pero bueno es para que empizes lee muchoo brother saludos

Gracias dehombreadios eres un genio man y sabes explicar excelente

a-squared ta jodio pero cuando le pillas el truco lo sacas