Metal_Kingdom escribió:
En principio este tip iba a ir para la zona modding, pero decidí
colocarlo al público, y si se chisca pues que se chisque, ya nos
encargaremos de nuevo

Matar firma de BitDefender ZGY5 y firma de F-Prot Trojan 9 Maximus:

La cosa es muy simple, estas firmas salen con facilidad si estas firmas solo saltan al encryptar, qué tenemos que hacer?

Vamos a Hex WorkShop y agregamos 300 bytes con 00 al stub, esto cómo se hace?

Cargamos el stub en Hex Workshop, nos vamos a la última offset y pulsamos click derecho o Control + Ins:

Metal_kingdom escribió:
Y agregamos 300 Bytes con 00, esto podría servir como un ExePump manual tambien..:

Metal_Kingdom escribió:Y listo..

Si
solo necesitamos sacar la firma de F-Prot, en lugar de agregar 300
bytes, agregaremos 10 (esto ya lo conocíais supongo). Si saltan los 2
AVs entonces agregamos los 300 bytes y listo, en cualquier caso para esa
firma de Bit los necesitamos.

Es muy poco tamaño, por lo que no se notará nada..

Es
posible que al sacar la ZGY5, salte la ZGY8, en esa estoy aun mirando,
algunas veces muere agregando 1000 bytes, pero eso ya es otra firma.

Solo es aplicable cuando las firmas solo saltan en el encriptado y en el stub no son detectadas.

Muchos
direis "yo las saco de la cabecera", bien... pero yo personalmente
prefiero esta forma, cuanto menos se toque la cabecera, menos nos joderá
el amigo del paraguas (Avira).

Nota:
Si agregamos
importaciones (por ejemplo como método antiavira), agregaremos estos
Bytes después, ya que sino habermos agregado tamaño en vano y tendremos
que volver a hacerlo.

Espero que os sirva.

Un saludo