Efectivamente, a menos bytes vas a tener mas precision para encontrar las firmas de forma mas exacta, pero para ir cercando de a poco es recomendable empezar con mas bytes, yo empiezo con 1000... luego lo vas bajando.


Es muy probable, casi seguro, que esos offsets sean parte de la cabecera del archivo, como referencia te podria decir que casi todos los archivos de la misma naturaleza tienen cabeceras similares, por otra parte si modificas codigo de esta sección es casi un hecho que vas a dejar el archivo inutilizable, hay algunos programas que te dan con toda precicion el final de la cabecera, sino, empezar en 1000 es una buena medida.


Los que sobreviven son los que tenian anteriormente las firmas, al modificarlos cambias el codigo de esas firmas y por ende el antivirus no los detecta mas, lo que te esta indicando que modificaste el codigo que detectaba tu antivirus. Las firmas para NOD de seguro son distintas a las de KAV por lo que te recomiendo ir trabajando los antivirus de a uno por uno, independientemente.


Depende en que etapa estes, si ves que ya tenes casi localizada la firma que buscas, entonces podes trabajar de a una, si por el contrario no tenes idea de donde puede estar la firma entonces ir de a 100 o incluso de a 1000 (dependiendo el tamaño del archivo) es lo mas adecuado.

Saludos

Si, creo yo que esa es la manera mas practica de hacerlo, incrementando o disminuyendo una o dos unidades (incluso dejarlo nulo 00 en algunos casos tb funciona...)
En un principio tambien se hablo mucho de la inalterabilidad que proponia una nueva metodologia de modificacion (conocida como metodo RIT), pero por conocimiento meramente empirico puedo decirte que tambien es una loteria, y si se modifica algo que no se debe tambien trae sus problemas, lo unico bueno de este metodo, y que nunca esta demas, son los conocimientos basicos de ensamblador que vas adquiriendo y son utiles en muchas ramas (entre ellas la ingenieria inversa si te interesa...), pero si recien empezas te diria que ensayes modificando los offsets directamente.
Un saludo.

Bueno, esos archivos que te quedaron vivos nunca te van a funcionar ya que la modificacion que has hecho sobre ellos a sido muy notable (1000 Bytes!), vamos a decir que los valores que habia en esos 1000 offsets, fueron suplantado por "00".
Este es el primer paso por donde empezar, ahora ya sabes aproximadamente donde estan las firmas (que modificandolas o trasladandolas te van a servir para hacer tu server indetectable), que es lo que detectan los antivirus...
Tu proximo paso seria tomar nuevamente el server y esta vez en Bytes ponerle 10 por ejemplo, asi ya tendrias una estimacion muy precisa de donde estan las firmas, logicamente usando la info que te proporciono el analisis anterior que hiciste con los 1000 Bytes (para saber en que offsets empezar las modificaciones)
Bueno, tal vez te sea mas util que esta explicacion, un poco de teoria para entender algunas cosas, en este subforo hay un post  de autor desconocido (...) que explica como sacar las firmas con un editor hexadecimal.
Un saludo.