Los encriptadores añaden stub también. Si un encriptador no añade un stub dentro del fichero cifrado estaríamos hablando de otro nivel de herramienta más avanzada, como por ejemplo los ofuscadores de código o las máquinas virtuales (como el themida, por ejemplo).

Pero ya te digo yo, que los crypters añaden stub, por ejemplo, el famoso packer UPX añade en el fichero la función de "descomprimir" que es ejecutada en memoria.

La diferencia de un crypter y un joiner es: El joiner descomprime el ejecutable EN DISCO el crypter lo descomprime en una zona de la pila o memoria RAM.

(corrijan me si me equivoco, pero creo que es eso)

Saludos

Exacto, o al menos yo también lo entiendo asi...por eso me gustan mas los crypters que los joiners Los joiners son as estables pork se descifra en disco y se ejecuta de manera analoga a un doble click...siempre funcionará...el cypter al ser en memoria ya tiene mas problemas...sobre todo si son archivos que se leen a si mismos (como muchos troyanos), ya que al seguir el archivo cifrado no leen la información original...en resumen los crypters tienen menos efectividad, son menos estables y solo sirven para ejecutables mientras que los joiners son mas estables y permiten todo tipo de archivos, sin embargo cualkier antivirus detectará los archivos originales al ser descifrados durante la ejecucion mientras que con el crypter no ocurre lo mismo...

Pero weno yo la verdad a las herramientas esas de ofuscacion como le llamas yo también las llamo crypters...sin duda son mucho mejores y mas avanzados y como no mas dificiles...y weno también mas inestables como no...

pero weno al añadir maquinas virtuales y ciertas ofuscaciones en el codigo también añaden algunos patrones que los hacen identificables por los AVs...

Por ultimo estaría la maldita heurística, causante de miles de falsos positivos pero la verdad que toca los cojones bastante para saltarse la de todos los AVs...y weno las firmas ya es cuando te registran el stub (normalmente...)..aí tienes que ir pensando en sacar nueva version 

Saludos

el .zip tiene contraseña??? tienes el modo residente activado (el monitoreo de archivos)??

por cierto expresate bien pork te contradices:



Haber cuando salta el AV?

Saludos

Pues salta al hacer doble click en el server, es decir al ejecutarlo. 

alzehimer_cerebral

Lo detecta como no seguro porque imagino le estas enviando el *.exe así como así, prueba envíandole el archivo comprimido en un *.zip o *.rar

Saludos

[Edito]Antes de este había otro post, y por lo visto lo eliminaron, pero este quedo aqui solito y parece que me hubiese fumado algo