A premissa é boa e ela realmente te faz acreditar que pode trazer algum resultado, mas a verdade é que isso não vai adiantar de nada, pode até piorar. O próprio executável main.exe de todos os servidores privados tem o código crackeado com base no original WebZen, passei um bom tempo analisando e tentando resolver este problema do false-positive com engenharia reversa, também tentei algumas das dicas citadas, um executável com o código extremamente alterado como o main.exe nunca vai ser aceito pelos verificadores, precisa-se de um código limpo sem realocações e isso todos sabemos que o Main MuOnline não tem.
As chamadas para os APIs GetAsyncKeyState, WSAStartUp, Rec, Socket, Shell e algumas outras que andei analisando, são muito antigas e suspeitas. Para confirmar basta dar uma rápida olhada com OllyDbg + Scylla que vc vai notar muitos APIs inválidos ou suspeitas, ao fixar alguns o arquivo fica até inutilizado.
[Somente membros podem ver os links. ]
[Somente membros podem ver os links. ]
Uma das coisas que eu fiz e teve resultado, foi o uso das ferramentas OllyDbg + Scylla, como funciona?
Primeiro, vc abre o executável com o Debbuger OllyDbg, aguarde a leitura do código do executável completamente.
OBS: Use um Main.exe sem nenhuma DLL externa hookada e que o EntryPoint original não tenha sido alterado.
Segundo, o OllyDbg vai te dar o EntryPoint original e seu Main.exe vai estar aberto em segundo plano, a próxima etapa é vc executar o Scylla em modo Administrador, com isso vc terá anexo os processos em execução na sua máquina, e com alguns offsets vc pode pesquisar e importar OEPs inteiros para reconstruir ou fixar APIs.
OBS: Para quem não sabe o Scylla é uma ferramenta de análise e reconstrução de arquivos com suporte a 64x, 86x e unicode.
Isso é só uma base para quem quiser procurar saber sobre o assunto, vale apena, pq se vc quiser ser um bom administrador vai precisar dessas ferramentas.
Isso foi oq realmente deu resultado nos meus arquivos, mas é um processo delicado e exige tempo e dedicação, eu cheguei a ter apenas 2 false-positivos em um dos meus Mains em 2017. Quem quiser limpar seu Main, na minha opinião, tem que procurar essa opção, enviar formulários não vai resolver.