hola,
tengo un crypter, lo compilo y m detecat nod32 entonces hago avfucker y consigo cambiar la firma y ya no detecta.
pasados unos días esa firma ya la detecta ...
bien, la pregunta es , si quiero volver a hacer este proceso para acabar indetectando el nod con avfucker ¿que deberé alterar en el code para que me vuelva a dar offsets que sean modificables?

espero se entienda bien
salu2

Pues depende que parte te pille el nod. Lo que más suele pillar este antivirus, son las apis así que ya tienes una pista.
Pd: Cambia también las variables y el orden del código del stub y eso ayudará...

Si usas el ESET Smart Security 5 jamas vas a sacar la firma desde binario porque digamos que trae una clase de "filtro anti-modding."
El NOD en los cripters pone las firmas en el RunPE y en las encriptaciones, cambia la encriptacion y el runpe y listo.
ah y tambien prueba diferentes maneras de compilacion.

Un saludo.

No metas mucha basura porque ahí sí que le gusta firmar.. se divierte el hijoputa firmando basura xD.

Metal_Kingdom escribió:No metas mucha basura porque ahí sí que le gusta firmar.. se divierte el hijoputa firmando basura xD.

jajaja tienes razón Metal, casi siempre nod detecta el RunPe mas que la encriptacion deberías de encriptar bien el runpe mas que nada. saludos

Uso runner.bas y .cls , por lo que entiendo que no lleva módulo runpe...
Gracias por estos comentarios,. Son útiles. Tendré en cuenta el RunPe
Intentaré cambios de encriptaciones y ofuscar módulos como hasta ahora.

¿Cómo podríamos sacar avira desde source?

Salu2