Salve a tutti 
, sto cercando da un paio di giorni di rendere il server di darkcomet FUD o "semplicemente" UD usando Exidous AV Signature Tool, Hex Workshop e nod 32...
questa la procedura che seguo:
splitto il server con Exidous, faccio una scansione della cartella di output, trovo il primo file rilevato come virus (esempio: OUT3.bin) e lo copio da un altra parte insieme al file (non infetto) che viene subito prima (OUT2.bin)
faccio una comparazione dei 2 file con l'hex editor e cercando tra le parti eliminate, dopo vari tentativi per trovare il byte che contiene la virus signature lo cambio in 1C, salvo il tutto, apro con l'hex editor il file del server non splittato, modifico il byte e via, in effetti l'antivirus non lo rileva ma aprendolo con sandbox ricevo il messaggio d'errore "%1 non è un applicazione di win32 valida. 193" o altri messaggi d'errore ...
sbaglio qualcosa?? devo cercare il byte da modificare in altri file e non nei primi rilevati?
aspetto vostri consigli e ringrazio in anticipo
, sto cercando da un paio di giorni di rendere il server di darkcomet FUD o "semplicemente" UD usando Exidous AV Signature Tool, Hex Workshop e nod 32...questa la procedura che seguo:
splitto il server con Exidous, faccio una scansione della cartella di output, trovo il primo file rilevato come virus (esempio: OUT3.bin) e lo copio da un altra parte insieme al file (non infetto) che viene subito prima (OUT2.bin)
faccio una comparazione dei 2 file con l'hex editor e cercando tra le parti eliminate, dopo vari tentativi per trovare il byte che contiene la virus signature lo cambio in 1C, salvo il tutto, apro con l'hex editor il file del server non splittato, modifico il byte e via, in effetti l'antivirus non lo rileva ma aprendolo con sandbox ricevo il messaggio d'errore "%1 non è un applicazione di win32 valida. 193" o altri messaggi d'errore ...
sbaglio qualcosa?? devo cercare il byte da modificare in altri file e non nei primi rilevati?
aspetto vostri consigli
e ringrazio in anticipo 
tanto lo puoi rimuovere.