Hola muchachos, en una de las últimas mods que hice descubrí este pequeño detalle para esa firma de F-PROT, dicha firma venía unida a trojan 9 maximus u otras diferentes (tocar en la PE o a 10 bytes con 00 cerca de msvbvm60.dll y bye firma...).

Bueno, a lo que voy, tras intentar algun tip de los que ya conocemos dije 'no debe andar muy lejos..' así que os pongo la imagen y os comento..


Es como lo del Nod que puse hace poco, solo que en vez de haber 5 bytes entre @ y @, hay 7 bytes.. lo que teneis que hacer es taparlo con 90 ó 00, excepto las @, aunque si las @ no rompen las tapais tambien y listo.

Como veis, está cerca de la ruta del proyecto (un poco antes).. Bueno, tras verlo busqué stubs con esa detección y los 3 que encontré me funcionó correctamente.

Un saludo compañeros!