Saludos a todos.
He puesto este título al tema porque seguro que hay más de uno con este problema y busca la solución escribiendo esto.
Este mensaje lo da Olly.
Me explico mejor y paso a paso porque es lo que me pasa a mi. Haber si alguien me puede ayudar.
Resulta que estoy trabajando con el stub de Tejón. Y lo que quiero es aplicarle el método xor ya que es detectado por KAV. Hasta ahí bien, no??
Bueno pues según este método, abro olly para ver el entrypoint, luego abri el stub con topo para crear los huecos y posteriormente tengo que abrirlo de nuevo con olly para poder seguir. Y es ahí donde me sale este error. Me dice que el entrypoint está fuera del código.
He buscado y leido por todos sitios y llego a la conclusion de que el stub "puede" estar comprimido. He intentado descomprimirlo con UPX, pero me dice que no está comprimido con éste.
También he leido muchísimo más y a veces este mensaje sale por otros motivos, por ejemplo, el OEP (ni idea de como encontrarlo para modificarlo).
Si lo que pasa a mi le ha ocurrido a alguien más y sabe la solución, que puede ser otra diferente a lo que yo considero, que por favor me ayude porque llevo varios días estancado aquí.
Antes de modificar el stub me funcionaba bien, pero cuando hacía lo anterior cascaba. Pero bien cascado...

PD: el metodo rit y xor los entiendo a la perfección. He ido viendo paso a paso con Olly y se que funciona bien, pero por este error mi ejecutable no funciona.

Gracias anticipadas por contestar.
Saludos pacientes!!

Es que si le creas una sección con topo y redirijis el entrypoint, en el oly te va a salir ese mensaje porque ahora tenes el ep en esa nueva sección y no en la sección de codigo.

slds

Hola paciente!!

Bueno, yo creo que muchos de nosotros no entendemos exactamente el problema.

Tienes que especificar más los datos... ¿Qué quieres decir con stub del TEjón? ¿Que estás modificando el loader que viene por defecto? ¿Cuáles son los pasos exactos que estás haciendo?
El entrypoint fuera de código es absolutamente normal pero también puedes modificar ese dato en el PE header para que no muestre ese mensaje OllyDBG, esto lo ha explicado Shaddy en muchos tutes.

Si el stub está comprimido es posible que sea así y tengas que saber por qué lo ha comprimido el autor, aunque puedes intentar descomprimirlo.

Tienes que ser más explícito porque tal vez lo que tú hagas para ti sea muy fácil, pero para los que no estamos acostumbrados o no utilizamos esos programas sea más complejo entender exactamente lo que estás haciendo.ç

Un saludo

Vale...

Efectivamente acabo de probar una cosa:
-he utilizado RDG Tejón con un virus y 13 de 39 avs lo detectan
-he utilizado RDG Tejón con un programa sin virus y 13 de 39 antivirus detectan virus también.
-he analizado directamente el RDG Loader y efectivamente es el que es detectado.

Esto significa que el problema es como tú dices, en el stub. Le he echado un vistazo y modificarlo no es que sea cosa fácil y hay que saber qué es lo que es reconocido por el antivirus. Es posible que sea alguna API que hay muchísimas utilizadas o algún código pero es que está hecho en Visual Basic p-code...

Podrías intentar ver si es alguna API, esto lo puedes hacer modificando la IAT del stub y analizarlo y ver si es detectado; si borras una API y ya no reconoce virus ahí estará el problema. También foro.elhacker.net, creo que es en el subforo de "análisis y diseño de malware" alguien hizo un tutorial de cómo averiguar el código infectado, no recuerdo el título pero te puede orientar. El problema es que si haces un xor a todo el stub destruirás la IAT la IID y no funcionará porque no se cargarán las funciones necesarias. Lo mejor sería como tú has hecho crear nuevas secciones con topo pero saber exactamente qué es lo que el antivirus detecta como virus y encriptarlo.

Yo pienso que es algo complejo. Puedes probar también otros crypters o packers.
Ya sabes los desarrolladores de antivirus se mueven mucho por la red y cuando descubren una posible infección la evitan. Por ej. Tejón en su versión 0.3 no era detectado por ningún avs. Ahora yo pienso que los avs lo reconocen...

Un saludo