sisi, lo tenia en cuenta pero no sabia porque razon no me dejaba buscarlo... aparecia siempre en una direccion tipo 778...
despues he pulsado un par de veces shift+f9 para continuar y ya he llegado al Entry point del .dll, donde he podido buscar la direccion que me interesaba
pero una pregunta please, por que razon he aparecido en 778... en vez de en 400...?
Gracias

nada, lo mismo... se ve igual :O
lo gracioso es que en el OllyDBG se ve como si hubiera menos code; en el Hex Editor sale mas :O

buenas a todooooos

bueee, tras esto planteo mi duda:
El caso es que hoy estaba editando un .dll con el Hex Editor y cuando he cogido un offset para ver como era ese code en el Ollydbg me he dado cuenta de que no salia lo mismo que en el Hex Editor...
es decir, que por ejemplo en el offset 0x0001400 que cogia del Hex Editor leia en hexadecimal 85 (JNZ) y en cambio en el OllyDBG en el 0x0001400 simplemente ponia todo 0000 (como si fuera espacio libre en esa sección del archivo)

Espero se entienda :/
graciasssss 

siep, eso ya lo hice, de hecho intente primero hacerlo sin agregar mas bytes... pero me lo detectaba, y luego agregandole mas bytes pues lo mismo... me detectaba el offset donde lo habia puesto el Entrypoint... solo ese.



Efectivamente, pero a mi me alertaba todo el rato en el Entrypoint aunque lo cambiase.
Pero tengo unas dudas sobre eso:
2) sectores donde el codigo es la rutina? no entiendo :O
5) md5 de las secciones? el md5 que cogen no es el del archivo entero? :O



Tenia en cuenta lo de sacar el Entrypoint.. pero a que te refieres con "conocer el tipo de stub que uso"?  De hecho ahora mismo no lo estoy probando con un Stub (no se porque puse eso en el titulo, supongo que para relacionarlo de alguna forma), sino con el Crypter en si, el que hace uso del Stub para cifrar el archivo que le metas... y claro, he conseguido quitar la firma del Bitdefender del Stub pero al no conseguir quitar la firma que es detectada en el Cliente.... pues lo que cifro me sale detectado por Bitdefender debido a este... (pero no se supone que el cliente no tiene nada que ver con el archivo ya una vez cifrado?)

mmm... pues habia pensado en intentar poner otra instruccion que no fuese un JMP o un JE/JNZ... pero al no tener muy clara la razon por la que me detectaba siempre el Entrypoint, preferi no gastar tiempo tontamente.
Ademas, no se porque me detecta el offset del Entrypoint... ahi solo ha una llamada de las que hay en VB al principio. Es decir, porque me detecta ese Entrypoint y no el de otro archivo en VB que tambien lo tiene? :S

Muchas gracias Apuromafo

Buenas, tras estar intentando indetectar durante un buen tiempo un stub de un crypter, sencillamente porque me aburria e intentaba aplicar lo que habia aprendido hacia un tiempo... pues consegui que un stub al final solo lo detectara el Bitdefender (de todos los AVirus que hay famosos) al hacer ciertos metodos para sacar la offset que detectaba me di cuenta de que solo era una... estaba en el Entrypoint....
Cambie el entrypoint de lado y le puse un jump  a esa parte... y tambien sin el JMP pero cambiando desde LordPe el Entrypoint... de ninguna de las dos formas lo conseguia hacer indetectable...
Con los mismos metodos de sacar las offsets conseguia detectar que otra vez habia alertado el AVirus por la offset del EntryPoint....
En ultima instancia le puse en vez de JMP a la parte primera del EntryPoint un JE que saltaba, en ese caso, siempre.... pero sin ningun resultado.

Como es posible que cambiando el Entrypoint de lugar, metiendole un JMP o un JE/JNZ me siga alertando por el mismo offset donde esta el Entrypoint?


Muchas gracias por leerlo, sino ha quedado muy claro puedo subir un video a Youtube de como lo hago... 

vaaaaaleeee, ya me ha quedado aclarado todo, muchisimas gracias por tu tiempo y por el interes ^^

PD: me he estado leyendo varios posts tuyos del foro y la verdad es que son bastante interesantes 

realmente si buscas videotutoriales en youtube veras que es muy sencillo y esta bastante interesante.... lo unico malo que igual cuando salio ese metodo funcionaba bien... pero ahora lo normal es que los antivirus cojan 200 firmas d un archivo... -.-" (((exagerando)))

1- cuando estoy en el olly se como hacer para si, x ejemplo... donde hay un Nop (offset A) hago un jmp a una direccion de memoria (offset B) en el cual haré otro jmp a 1 byte despues de A.. para que el programa continue sin problemas.. es como un salto que lleva a otro salto y este ultimo vuelve a la posicion que tendria si no los hubiera hecho...



Ahora el problema es que cuando hay mas de un NOP, pongamos 4 NOP's, y yo necesito meter un PUSH y un CALL dentro de ellos... obviamente tendre que poner en el 1º NOP un JMP que vaya al final de los NOP (al 5º lugar, detras del 4º NOP) para que siga el programa como si nada, en el 2º NOP meteria el PUSH, en el 3º el CALL y en el 4º NOP simplemente le pondria un JMP para que fuera al final de donde cogimos el PUSH y el CALL.... pero no me va, no se porque... ademas cuando estoy con el Olly y hago esto algunas direcciones de memoria desaparecen, es decir en vez de estar

offset 1-NOP
offset 2-NOP
offset 3-NOP
....

le meto un JMP al 2 y sale

offset 1-NOP
offset 2-JMP...
offset 5-NOP
offset 9-NOP
.......

eso, por ejemplo.

pff, no se si ha quedado bien explicada mi duda... igual les parece un lio... de todas formas si hay alguien que conozca el tema del Olly dbg  y sobre los cambios de EntryPoint, y no ha entendido ni la primera palabra por mi mala explicacion.. que me avise y cuelgo un video en youtube en HQ para que vean como lo hago.

Llevo un buen tiempo buscando sobre esta duda y alguna que otra mas de Olly y tras buscar y buscar por Google solo he conseguido encontrar a gente que le ha pasado lo mismo pero sin respuesta... Y no pensaba postear aqui la duda ya que igual tardaria mucho en responderse, pero es que no se ya ni que hacer... he visto monton videotutos y los he seguido al pie de la letra, lo mismo que con papers en .pdf y tambien al pie de la letra... y revisando cada cosa que hago para ver donde podria estar el fallo.... pero no consigo descubrir nada.

Muchas gracias por su tiempo, y siento mi mala capacidad para explicarme  

gracias...testeado i funciona!!!

gracias tio!! descargando.....