Come è possibile nascondere i programmi maligni utilizzando la crittografia polimorfica quando i programmi devono essere prima compilati in codice macchina? Non puoi crittograficamente nascondere il codice macchina, vero? Quindi il processore non sarebbe in grado di eseguirlo. Tuttavia, non sarebbe semplice identificare le minacce malware una volta raggiunto il codice macchina in memoria?
Il malware polimorfico potrebbe non eseguire sempre le stesse azioni nello stesso identico modo. I programmi antimalware dovranno essere in grado di interpretare il risultato di un insieme di azioni che potrebbero non essere molto affidabili se l'autore del malware fa bene a rendere le azioni benigne e scatenare falsi positivi.
Anche quando viene ridotto al codice macchina, puoi fare la stessa azione in molti modi diversi. Non conosco il codice macchina, quindi non scriverò altro, ma per un'istanza davvero semplice, ci sono molti modi per aggiungere due numeri:
x + y = z
x - -y = z
|-x - y| = z
y + x = z
y - -x = z
|-y - x| = z
Quindi, anche se il programma decrittografa il proprio codice durante il runtime per evitare di essere identificato da un software antimalware, può comunque agire in vari modi per ottenere lo stesso risultato.
Leggi altre domande sui tag cryptography antivirus