buenas a todooooos

bueee, tras esto planteo mi duda:
El caso es que hoy estaba editando un .dll con el Hex Editor y cuando he cogido un offset para ver como era ese code en el Ollydbg me he dado cuenta de que no salia lo mismo que en el Hex Editor...
es decir, que por ejemplo en el offset 0x0001400 que cogia del Hex Editor leia en hexadecimal 85 (JNZ) y en cambio en el OllyDBG en el 0x0001400 simplemente ponia todo 0000 (como si fuera espacio libre en esa sección del archivo)

Espero se entienda :/
graciasssss 

Buenas, tras estar intentando indetectar durante un buen tiempo un stub de un crypter, sencillamente porque me aburria e intentaba aplicar lo que habia aprendido hacia un tiempo... pues consegui que un stub al final solo lo detectara el Bitdefender (de todos los AVirus que hay famosos) al hacer ciertos metodos para sacar la offset que detectaba me di cuenta de que solo era una... estaba en el Entrypoint....
Cambie el entrypoint de lado y le puse un jump  a esa parte... y tambien sin el JMP pero cambiando desde LordPe el Entrypoint... de ninguna de las dos formas lo conseguia hacer indetectable...
Con los mismos metodos de sacar las offsets conseguia detectar que otra vez habia alertado el AVirus por la offset del EntryPoint....
En ultima instancia le puse en vez de JMP a la parte primera del EntryPoint un JE que saltaba, en ese caso, siempre.... pero sin ningun resultado.

Como es posible que cambiando el Entrypoint de lugar, metiendole un JMP o un JE/JNZ me siga alertando por el mismo offset donde esta el Entrypoint?


Muchas gracias por leerlo, sino ha quedado muy claro puedo subir un video a Youtube de como lo hago... 

1- cuando estoy en el olly se como hacer para si, x ejemplo... donde hay un Nop (offset A) hago un jmp a una direccion de memoria (offset B) en el cual haré otro jmp a 1 byte despues de A.. para que el programa continue sin problemas.. es como un salto que lleva a otro salto y este ultimo vuelve a la posicion que tendria si no los hubiera hecho...



Ahora el problema es que cuando hay mas de un NOP, pongamos 4 NOP's, y yo necesito meter un PUSH y un CALL dentro de ellos... obviamente tendre que poner en el 1º NOP un JMP que vaya al final de los NOP (al 5º lugar, detras del 4º NOP) para que siga el programa como si nada, en el 2º NOP meteria el PUSH, en el 3º el CALL y en el 4º NOP simplemente le pondria un JMP para que fuera al final de donde cogimos el PUSH y el CALL.... pero no me va, no se porque... ademas cuando estoy con el Olly y hago esto algunas direcciones de memoria desaparecen, es decir en vez de estar

offset 1-NOP
offset 2-NOP
offset 3-NOP
....

le meto un JMP al 2 y sale

offset 1-NOP
offset 2-JMP...
offset 5-NOP
offset 9-NOP
.......

eso, por ejemplo.

pff, no se si ha quedado bien explicada mi duda... igual les parece un lio... de todas formas si hay alguien que conozca el tema del Olly dbg  y sobre los cambios de EntryPoint, y no ha entendido ni la primera palabra por mi mala explicacion.. que me avise y cuelgo un video en youtube en HQ para que vean como lo hago.

Llevo un buen tiempo buscando sobre esta duda y alguna que otra mas de Olly y tras buscar y buscar por Google solo he conseguido encontrar a gente que le ha pasado lo mismo pero sin respuesta... Y no pensaba postear aqui la duda ya que igual tardaria mucho en responderse, pero es que no se ya ni que hacer... he visto monton videotutos y los he seguido al pie de la letra, lo mismo que con papers en .pdf y tambien al pie de la letra... y revisando cada cosa que hago para ver donde podria estar el fallo.... pero no consigo descubrir nada.

Muchas gracias por su tiempo, y siento mi mala capacidad para explicarme  

weno aki les dejo el codigo fuente del programa k postee ace un tiempo aki....espero les agrade.....se podria mejorar....pero no tngo tiempo i en el blokeador de msn no lo entiendo del todo.....
weno espero les guste d nuevo...gracias por leerme


link: http://www.megaupload.com/?d=B8D0UL74
   

algunas partes no son mias.....mu pokas)

Muy buenas a todos.....
.....Esta vez, ya que no aporto demasiado al foro(creo), les traigo un nuevo programa....... EStá bastante bien.. Cuando lo ejecutas te sale una pantalla negra que te ocupa toda la pantalla (impidiendo ver nada,ni la tecla windows) y para por si acaso dicha persona sabe algo de informatica (aunque sea muy poco) el ratón se moverá cada .5 segundos...... y para quitarllo solo hay que pulsar la tecla "F5"......incluye un nombre  extraño para no ser reconocido en la lista de procesos del "Administrador de tareas"(Ctrl+Alt+Sup) y por último...no se muestra en las aplicaciones abiertas de dicho administrador(Ctrl+Alt+Sup)

link>> http://www.megaupload.com/es/?d=VS7C1WGC
......Espero sus respuestas.....Atente: Don_K

wenas a todos
desde hace unos dias estoy intentando encontrar el codigo del helador de cuentas de msn i demas.....pero nada....he buscado bastante en este foro y en muchísimos más pero no lo consigo encontrar ......
es que estoy haciendo un programa del msn que trabaja sobre Windows (XP y Vista, funciona mejor con el vista que con l xp) en VB6.0..y tengo varias funciones: mandar mensajes, colapsar, flood de ventanas, abrir ventana del contacto que quieras, ver tus contactos etc.....pero solo me falta ese último detalle
luego se lo publicare para que digan como reformar codigo y demás .....
me preguntaba si me podrian ayudar....muchas gracias por todo hasta pronto

  muy buenas a todos amigos....llevaba tiempo sin venir por aqui.....bueno lo que les queria decir lo primero..muchas gracias  por atenderme y lo segundo....pues haber estaba haciendo una agenda pero me di cuenta de que no se como hacer para recordar el cumpleaños (esto si) y que luego cuando lllegue la fecha del cumpleaños se active un mensaje de infromación.....
yo lo hago con un if then else....pero me sube la cpu a 58%.....porque hago esto:

empezar:
If Date = #11/29/2008# then .......
else goto empezar
end if

o si lo hago con respecto a una hora....

empezar:
If Time = #12:00 PM# then .......
else goto empezar
end if


 
bueno muchas gracias a todos y por favor si puede ser respondan.....no tengo mucha prisa ...y graciaas