Buenos dias, me he iniciado en esto hace nada y para practicar pues he dicho...voy a indetectar un stub y he empezado por el avira.Resulta que al pasar el avfucker me salen varios offsets ( si digo alguna palabra que no es correcta, o digo alguna barbaridad perdonarme   ).Tengo de 4420-4422 ; 5306-5308 ; 12564-12576. No se si estoy en lo cierto corregirme si me equivoco pero son 3 firmas. En la primera me sale esto ..@ , en la segunda firma .@.~ y la tercera RtlMoveMemory.

Me he dispuesto a modificar las firmas, tal y como tengo entendido por lo que me he documentado, canviando el orden de los 2 valores hexadecimales bastaria. Lo he hecho en la 1 firma...en los 3 offsets,cuando modifico uno de los 3 primeros no se detecta pero no conecta,cosa que no entiendo por que de modificar una de esas 3 offsets que yo diria que es el @, deberian de quedar otra dos y el avira tendria que saltar ademas de conectar.

Desisti de la 1 firma y fui a la 2, en este vi este caracter ~ y pense uy,feo,canvie los valores hexadecimales,y seguia siendo detectado y pense , esto es bueno...probe el servidor pero no conecta tampoco.Desisti de la 2 firma y me fui a la 3...y me encontre con RtlMoveMemory... . Alguien me puede hechar una mano...corregirme en lo que haga mal o algo?. San Google no me ha ayudado mas y al final me he visto obligado a utilizar mi primer post para esto xD . Quizas alguien piense que tengo algo mal configurado y no me conecto a mi mismo por algun error de configuracion,pero un servidor sin pasarle el crypter a pelo me autoinfecto perfectamente.

Gracias de antemano y perdonar mi ignorancia...

Exacto, esas modificaciones que algunos hacéis con el editor hexadecimal es una tremenda gilipollez. Al cambiar los opcodes cambiais las instrucciones, que si los cambiais por valores cercanos (sumandole uno o restandole uno) puede funcionar (alomejor el 1% de las veces xD) de tremenda casualidad. La forma correcta de hacerlo es aprendiendo ASM y sustituyendo ese trozo de código por uno equivalente y diferente, usando Olly.

Saludos

Zero tiene toda la razon es mucho mejor modear con olly ademas amigo comenzaste con el av equivocado avira no es tan facil de quitar
deberias comenzar con otro mas sencillo
Saludos

Gracias por responder, he mirado en google y tal y he llegado a esta conclusion con el Olly, rectificarme si me equivoco porfavor 

1-Utilizo topo
2-Abro el stub con olly
3-Busco una firma y me lleva hasta a ella, como ocupa 3 offsets copio en binario las tres
4-las pego en el hueco de memoria que nos crea topo y hago un salto desde la 1 offset a la 1 linea de la memoria que pegue, para finalizar hago otro salto desde la 3 linea de memoria de topo a la 3 offset.

Lo que no me queda muy claro son los jumps...el 1 si, lo hago desde la 1 offset pero el de vuelta el jump es desde la 3 linea de memoria que pegue...o desde la siguiente NOP que no hay nada a la 3 offset o a la offset siguiente que ya no es firma

Disculpar las molestias   

http://ricardonarvaja.info/WEB/INTRODUCCION%20AL%20CRACKING%20CON%20OLLYDBG%20DESDE%20CERO/
http://www.ollydbg.de/quickst.htm