BUENo les comento

lo que pasa es que le sake a un cripter que tengo, (despues de mucho mucho intentarlo ) el a-squared y el ikkarus, que me jodian bastante, el problema es que se sumaron dos firmas la del DRWEB (BackDoor.Bifrost.779) y el MCFEE (BackDoor-CEP.svr trojan)..

he estado tratando de sacarme la firma del drweb, por si cae junto a ella la del macfee, y lo estoy intentando con el bifrost ya encriptado... pero creo que la firma esta en un lugar muy complicado donde no se puede modificar... (cerca del offset 5000)

adjunto imagenes para que se entienda mas, me orienten sobre lo que podria hacer, porque ya llevo bastante con esto y no se que mas intentar

[Enlace externo eliminado para invitados]


si alguien sabe donde sacarla o cualquier cosa, relacionada tambien con el macfee escribanlo todo sirve

saludos de antemano

yo se el call tiene un jmp a msvbvm60.dll100 osea arriba la primera que dice msvbvm60 1oo en amarillo el JMP
lo que tenes que hacer es copia la firma abinario pegala en un parte de ceros hacele un jmp de lo pegado a la firma y ahora copia la direccion del PUSH y clickea la linea llena de ceros denajo de lo pegado y pone jmp la direccion del puxh guardalo y listo1!!

jajaja gracias compañero fexx, pero adivina que paso... modifique una ultima vez antes de abrir el olly XD y me resultoo con hexa!! aah despues de horas intentando solo tube que subir mas y modificar en el comienzo de donde empesaban todas esas instrucciones y listo sabia que no me la ganaria eso si tendre muy presente las instrucciones que me diste para hacerlas cuando me aparesca la firma en un call... lo unico es que siempre tengo problemas para utilizar el olly, creo que hago todo bien como en los manuales pero no me resulta.. el otro dia lei un post de alguien que tambien tenia ese problema... creo k lo bajare de nuevo porque talves sea error de mi olly.

bueno ahora a intentarlo con la del macfee y bitdefender, con el avira me doy por muerto X_X

saludos cualquier cosa si quieren agregar algo haganlo, todo sea en pos del conocimiento de todos

viewtopic.php?f=8&t=8743

Esto de seguro te sera de ayuda...

Si no preguntale a todos los que usan el metodo! xD

jajajaja demon maestro es la misma imagen de donde tenia mi problema jaja y como dices en tu manual, probando con hexa si que cuesta... xD pero se puede :) saludos!! lo guardare en mis favoritos
ya sake la del macfee de pura suerte probando en la cabezera xD, esa firma se cae hasta con un zamorreo pero me agrego "suspicious" del quickheal

vi tambien tu manual demon sobre como sacar pack cript del avira, hize todo pero no me resulto.. creo k ia tenia cambiada ciertas cosas que hicieron que se mantubiera...
bye!