Bueno bueno antes de nada agradecerles sus respuestas al tema y a este gran foro por los conocimientos compartidos buenoo no me enrollo mas y al temaa 

Resulta que llevo ya algun tiempo liao con el norton bamos que me tiene desesperaitoo XD. Alo que me refiero es que mi Stub del X-Cryter v1.2 S-B, el unicoo que lo detecta es el norton porque no puedo modificarle la firma 6672-6750 1A10-1A60 pormas que lo e intentadoo nada de nadaa el metodo que uso es el RIT. Eh probado a mover diferentes sesiones de codigo dentro de la firma a los NOP creados por Topo12 para redireccionar el flujo del programa pero nadaa lo sigue detectando.
Aaah y e buscadoo y lo que e encontrado son mas con mi misma duda por ejemplo: Hambert que de aqui le mando un saludo y aber si lo solucionamos

Aver me voy a explicar mejor:
aislo la firma con SignatureZero rellenando con ceros hasta que me keda la firma que comienza en offset 6672 y termina en el offset 6750 luego creo con el programa topo un espacio en el programa donde copiar una parte de la firma para luego con un JMP redireccionar el flujo. Bueno po abro Olly debugger y le doy al boton derecho del raton en la ventana CPU como ise con otras firmas de AVs y se abre el menu contextual elijo la obcion view>executable file en la ventana que aparece pulso control + G que sirve para buscar el offset 6672 (10001A10) que es el comienzo de la firma justo ensima del push que me localiza boton derecho del raton y View image in Disassembler y nos devuelve a la ventana CPU justo en la localizacion esasta de la firma (Imagen de Olly Justo abajo hos lae puesto) bueno po enpese a probar en mover partes del codigo a los NOP y redireccionarlos con JMP y nada de nada NORTON sigue detectandolo mi pregunta es ¿alguien sabe que puedo hacer para modificarle la firma y que no lo detecte?

Aqui teneis la Captura del Hex Workshop:


Aqui teneis la Captura del Olly:


Salu2s y Intenten ayudar graxias

Que no ayudan en nadaa? las firmas son iguales para todos y en el caso del norton es esa firma en el stub del X-Cryter 1.2 S-B y no solo son las imagenes estoy especificando los offset cualquier persona que alla tokao el tema sabe de que ablo porlo que veo tu no y intenta ayudar no postear por postear

Salu2s  y no te moskees por mis palabras

Esa sección no es de codigo ejecutable es de texto. Por tanto si haces JMP y tal no se ejecutara correctamente ya que no lo interpretara como instruccion. Quiza cn el metodo meepa.
Saludos.

Graxias a los dos por contestar y bueno EON tu que sabes del tema que me aconsejas leer o que me informe algo que me guie en mi batalla personal contra el norton  de momento estoy liaoo con el metodo MEEPA
Salu2s

Intenté hacer un crypter hace ya tiempo asi, pero no se salta la heuristica... no creo q le  balga, aunke nunca lo e probado con la firma en la sección de texto la verdad


Aprendete el formate PE y hazte tu propio crypter, es lo mas simple xD

Salu2