Citar
El problema: independientemente del offset hasta las instrucciones consideradas como maliciosas, ciertos AVs no miran el offset si no, si contiene una serie de instrucciones independientemente de la localización de estas.
Eso es la heurística, no conseguireis nada modificando offsets para libraros de la heurística, para libraros de la heurística tendreis que ingienaroslas para saber que funcion del codigo es "sospechosa" para un AV y sustituirla por una alternativa
Este programa debería servir para detectar el offset que hace detectable al troyano, no para volverlo indetectable, una vez conocido el offset el resto lo tiene que hacer el user como mejor considere, aunke si k se puede añadir un editor hexadecimal...
y está claro que en ningun momento por mucho que partas no se puede modificar el contenido original...
Yo no se mucho de VB...pero weno...daré las ideas que pueda...
Lo que veo mas dificil en el proyecto y estaría muy bien es que el programa te analizase el automaticamente los archivos...o k los enviara al KIMS o Virustotal (siempre opcion voluntaria) para comprobar en cada caso...explico mejor mi idea:
-Primero analiza el archivo y guarda los resultados...lo parte en dos y analiza los dos...el k no sea detectado por el AV se desecha y el k sigue a ser detectado se vuelve a partir en 2, y así sucesivamente...cada vez un cachito (o varios) asta k al partir no sea detectado por nada...eso significa que acabas de partirlo al medio (los offset k son detectados) entonces vuelve a cojer un conjunto mas amplio y analiza, e intenta conseguir los offset que son detectados...
En vez de dos cachos se podría poner una opcion modificable...para poder elegir partir en vez de 2 por ejemplo 5 o en las partes que quieras...para acelerar el proceso...ademas así pruevas de varias maneras y mal será que si una vez lo partes en 2, otra en 3, otra en 5 y otra en 7 en alguna de ellas no partas el offset...
El problema es si parte en dos los offset que son detectados (es raro y puedes hacer lo k dije antes) Pues eso significa que donde partiste está el offset...y como sabes? Pues si al analizar las dos partes el AV no te detectará ninguna de las dos es k aí partiste el offset.
Saludos y suerte