|
Título: Pregunta sobre modificación al pe Publicado por: carlosclanguagedev en 5 Mayo 2013, 07:12 am Hola. Quiero hacer resolver un problema que estoy teniendo con un programa que estoy desarrollando. El archivo no es malicioso, pero AVG me lo detecta como I-Worm/Nuwar.L
Hice varias pruebas, y he concluido que esa falsa detección en el ejecutable no se debe al uso de ninguna función ni de una cadena en específico. La detección se produce en el offset 512. Dónde está el carácter 55. La única forma de quitar esa detección han sido dos: realinear el archivo a 1024d - 400h usando CFF Explorer y la otra que se me ocurrió sin saber nada de ingeniería inversa, solo sabiendo lo que hace el NOP fue cambiar esa secuencia de bytes: 55 89 e5 81 ec 00 00 00 00 90 8b por 90 55 89 e5 81 ec 00 00 00 00 8b y ahora no lo detecta y funciona y mi pregunta es ¿eso puede traer algún efecto negativo en mi aplicación.? Edit: ahora con esa modificación AVG lo detecta como Generic30.AGPX.dropper Título: Re: Pregunta sobre modificación al pe Publicado por: karmany en 5 Mayo 2013, 22:19 pm Tienes que poner más bytes porque con esos no basta para saber qué modificaciones has hecho. Por ejemplo lo que tú dices en el código original:
55 89 e5 81 ec 00 00 00 00 90 8b Equivale en asm a esto: Código: 00401000 <> 55 push ebp |