Buen día amigos hoy escribo este mensaje para expresar mi terrible decepción con mi crypter.
Tengo varios dias,luchando y buscando alguna solución a esta detección que muchos de ustedes conoce, el famoso Dropper.Gen de avira, que hasta hace unos meses habia podido superar usando un par de técnicas y que ahora llego a su fin, ya que no funcionan mas.
Con anterioridad usaba resource hacker donde cambiaba la info del exe y el icono y me buscaba la firma con el avfucker y salia sin problema.
Despues lo intente copiando las dll que mando llamar en las apis, y usaba el mismo metodo anterior solo que tenia que recurirr al engaño de las apis.
Bueno ahora no funciona ni uno ni otro método, he buscado firmas de todo el stub y bueno las que quedan libres al momento de encriptar avira vuelve a estar presente aunque edite el offset de la firma.
Y bien muy trizte decidi hacer un debug de mi stub, encontrandome con lo siguiente, estuve a prueba y error hasta que di con el meoyo del asunto.
Resulta que avira detecta en mi código lo siguiente:
Para empezar la api GetProcAddress es una de ellas, la comente en mi stub en todas las lineas dodne se usa y bueno avira seguia presente, despues hize mas pruebas y desactive el runpe, y tampoco, el call api y tampoco, el algoritmo de encriptación y tampoco, bueno resulta que avira me detecta esa api y el siguiente código:

Open canton.INkuXZ(cyborg, "binarymen2010") For Binary As #1
posd = Space(LOF(1))
Get #1, , posd
Close #1

el canton.INkuXZ es mi modulo clase de encriptacion.

Y bien no se que hacer, ni que rumbo seguir, lo que si se es que he dedicado varias noches intentando y leyendo foros y mas foros para poder desechar de mi crypter este enfadoso antivirus ya que mi crypter esta 99% a causa de este fastidioso avira.
Los foros no suelen ser muy dulces en cuanto a ayuda, desgraciadamente muchos dicen que es priv, o son métodos vip, en fin, no quiero sonar tan desesperado pero siento que todo esta en un empujon y la info que busco siento que no esta disponible al publico en general al que pertenecemos muchos.

En fin si alguien no se aburre leyendo esto, y puede ayudar, se agradece de antemano.

Hasta luego

Que tal amigo, no creo que en estos momentos nadie te de el metodo para sacar avira.
Como novedad te puedo decir que hay un tuto nuevo en la seccion manuales y tutoriales de franvb2009 que enseña a sacar avira, personalmente todavia no he tenido tiempo de probarlo.
Intenta con eso y si no puedes, deja tu crypter y puedo probar haber si te lo saco.

Si gracias por tu respuesta. Es uno de los métodos que ya no me funcionan, desde hace mucho lo implementaba pero dejo de servir en mi crypter. En fin seguire intentando. no queda mas....

Mmmm lo mismo es por el LOF, prueba String(FileLen(1), vbNullChar)

elkifo escribió:Mmmm lo mismo es por el LOF, prueba String(FileLen(1), vbNullChar)

Asi es brother gracias por tu respuesta, funciono con eso solo que avira persiste.. detecta el getprocaddress.

anteriormente estaba
Open canton.INkuXZ(cyborg, "binarymen2010") For Binary As #1
posd = Space(LOF(1))
Get #1, , posd
Close #1

y corregido

Open canton.INkuXZ(cyborg, "binarymen2010") For Binary As #1
posd = String(FileLen(1), vbNullChar)
Get #1, , posd
Close #1

Va que me siento inspirado

en vez del #1 por ejemplo pon a, es decir Get a, , posd, y tienes que declarar a como integer, dim a as integer, y tambien a = FreeFile(), no me ha quedad muy claro si al final te detecta o no el avira en esa parte de codigo, pero esas son las formas que tengo yo de hacerlo para que no salte el antivirus.

Si lo pasa bro, con esa manera, solo que avira sigue insistente por muchas cosas mas, entre ellas la getproc he logrado pasar avira encryptando completamente todas las apis, solo me quede con rtlmove y use el metodo de cambiar icono y actualizar la info para dejar atras a avira.
Avira ya fue historia. :P Saludos

Solucion dropper gen, agregar seccion al stub, y re alinear pe del archivo encriptado.

Saludos