Hola a todos, Ley el manual de Badcode, el de como encontrar el offset malicioso de un server, y... bueno tengo que decir que precioso manual, es magnífico. Estoy haciendo muchísimas pruebas aunque está la cosa muy dificil ya que como ya sabemos todos los antivirus de hoy en dia que predominan "kav" y "mcafee" escojen unos offset que son practicamente el pilar del server.
Al grano, Cree un server ProRat v1.9 con la extension bat, y despues de probar.. probar... probar... y probar... solo consegia cargarme el server, hasta que encontré un offset malcioso y este al parecer di con la tecla.
Cuento lo raro, es indetectable, para panda, norton, kav, y  trojan hunter, y este se ejecuta y todo correcto. PERO lo extraño de todo esto motivo por el cual escribo esto... cuando cojo el cliente y voy a conectarme despues de haberme autoinfectado... tachán sorpresa.. Vean ustedes mismos...  "ERROR DE CONEXION: Se ha modificado el servidor que usted está intentando conectar!.
El cliente de ProRat no puede conectar con los clientes modificados. Si tu quieres el server indetectable, quieres comprar ProRat edicion especial. Gracias ProGroup".
Bueno esto dice algo raro para mi, por lo menos en nuevo, otro dato en cuenta es que si digo de eliminar el server desde el cliente proRat  obedece y se elimina.
QUE significa esto exactamente? que aun así haciendoles indetectables... y aun asi que se puedan integrar en la makina correctamente se vuelven inservibles con el cliente? o solo pasa con prorat? o mejor aun... por que no puedo hacer uso del server... haber si alguien me pone algo al respeto, a prueben usetedes.... mismo, el offset es el 60452 y donde pone "wky" modificado por "wka".
gracias chao

Ostis pues si k es rarro, segun dices parece que los de pro rat han incorporado alguna medida para evitar que la gente haga facilmente sus troyanos indetectables. 
Umm, se me ocurre que una forma de hacer esto seria: el server hace una comprobacion de suma, checksum (suma todo su codigo binario) se lo envia al cliente y si coincide le deja conectar, si no coincide te pone error comprame indetectable  k ka****britos. Al modificar un solo digito el check sum ya es diferente.

Para corroborar esto, estaria bien que alguien snifeara los paquetes que envia el server para ver si envia una especie de check sum o algo asi.

Si lo hacen es para obligarte a comprarles una version indetectable, solucion? porsupuesto k habra una solucion, seria como hacer un crack para el server para que envie lo que envia un server sin modificar, pero yo de esto ni ideeaaaa.
Suerte y a ver si alguien k sepa mas se anima.