Si, con RtlMoveMemory si funciona. Seguiré haciendo pruebas, aunque no creo que llegue a nada. Cualquier ayuda o consejo será muy bien recibido. Gracias por su atención a todos.
Intenta ponerle apis basura, si tu api esta sola por mas que le muevas va ser siempre detectada.
Ejemplo.
Api fake
Api fake
Api fake
Api fake
Api fake
Api fake
Api fake
Api fake
Api fake
Api fake
Api fake
Api fake
Api fake
Api fake
Api fake
Api RtlMoveMemory
Api fake
Api fake
Api fake
Api fake
Api fake
Api fake
Api fake
Api fake
Api fake
Api fake
Api fake
Api fake
y a prueba y error, vas compilando y vas scaneando, hasta que veas cuales apis sirven para dejarlo indetectable tu stub. al menos.. ya con el avfucker buscas la firma y es mas simple quitar con muchas apis, a que solo estuviera una.
Espero te sirva.
Saludos :D
Ejemplo.
Api fake
Api fake
Api fake
Api fake
Api fake
Api fake
Api fake
Api fake
Api fake
Api fake
Api fake
Api fake
Api fake
Api fake
Api fake
Api RtlMoveMemory
Api fake
Api fake
Api fake
Api fake
Api fake
Api fake
Api fake
Api fake
Api fake
Api fake
Api fake
Api fake
y a prueba y error, vas compilando y vas scaneando, hasta que veas cuales apis sirven para dejarlo indetectable tu stub. al menos.. ya con el avfucker buscas la firma y es mas simple quitar con muchas apis, a que solo estuviera una.
Espero te sirva.
Saludos :D
