Hola estoy siguiendo el tuto de "OCTALH" esta muy bien echo,en el tutorial utilize el programa "ZignatureZero" donde el offset quedaba exactamente DESDE 519 HASTA 1031 y subes 1 numero mas es detectado el problema llego cuando paso al "Hex Workshop 4.2" donde la posicion 519 y 1031 no se representa igual que en el "ZignatureZero"

¿Cual es la posicion en el Hex Workshop 4.2?

amigo ten cuidado con eso por que es imposible que hayan puesto tan solo una sola firma a un troyano tan conocido como poison tendrás que currártela varias veces ya que tapando una no te lo dejara indetectable

y lo del signaturezero, ponlo para que te muestre en hexadecimal al igual que en el hexworckshop

si tienes que cambiarlo

Mira, aquí puedes ver como lo hago: www.usuarios.lycos.es/edusv . Lo hice para probar el programa con que grababa para hacer mi videotutorial, pero a ti te puede servir para eso, ya que detecta más de una firma. Creo que no acaba el proceso, pero se trata de cuando tengas una firma, la apuntas, la rellenas de ceros y repites el proceso con el otro trozo.
Saludos

Para que te funcione, tienes que tener la carpeta donde tienes el signaturezero excluida de los análisis del AV. Otra cosa importante es que no excluyas las subcarpetas, sólo la carpeta contenedora del SignatureZero. En el Kav 7 creo que para excluir carpetas es en: Configuración//Amenazas y exclusiones//Zona de confianza. Ahí le das a agregar y no marques la casilla de excluir subcarpetas. Espero que te sirva.
Saludos

PDTA: Eso no era el videotutorial, era una prueba, haber si pongo pronto en videotutorial.

En la misma carpeta que el SignatureZero, para que no te lo pille. Espero que ya estes aclarado 
Saludos