Te repito:
...mitad hacia abajo y lo analizas. Despues un nuevo server lo llenas de ceros desde la mitad hacia arriba y lo analizas. Pues aqui esta tu fallo, no debes cerear desde el primer offset ya que te cargas automaticamente el server al modifcar los primeros offsets "MZ".
Esto siguiente lo dices tu:
Pillo el server, como indica el manual de la mitad arriba lo lleno de ceros, lo guardo con otro nombre para no perder el server original. Y paso esta mitad igual que habia pasado el server. Esta vez no es detectado por ninguno
Es logico que no te lo detecte ningun antivirus ya que te has cargado la cabecera del archivo y segun indica el manual has de llenar de ceros la mitad de abajo y no la de arriba
Te explico:
Suponiendo que lo que te voy a mostrar es un server en hexadecimal siguue los pasos porque lo que cometes es un error tipico.
Abre el server con el editor hexadecimal y suponiendo que el server tiene 20 offsets y estan puestos como lo voy a poner a continuacion sigue los pasos:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
Bien suponiendo que esta sea la estructura, llena de ceros desde el offset 11 hasta el 20 de manera que quede asi:
1
2
3
4
5
6
7
8
9
10
0
0
0
0
0
0
0
0
0
0
Una vez hecho esto analiza el server y si es detectado NO has de llenar de ceros desde el 1 hasta el 10 si no que has de ir mas despacio porque si modificas el offset numero 1 te cargas el server directamente. Ve cereando ahora de dos en dos osea desde el 10 hasta el 8:
1
2
3
4
5
6
7
8
0
0
...
...
Ahora esto lo vuelves a analizar y si sigue siendo detectado cerea desde el offset 8 al 6 y haz esto hasta que el server ya no sea detectado con lo que abras localizado el offset o los offsets detectados.
Una recomendacion es que si quieres hacer el server indetectable vayas de un antivirus en un antivirus ya que no todos los antivirus detectan los mismos offsets y si lo intntas hacer a la vez con todos te va a ser bastante complicado.
Autor
En línea
