La maggior parte delle esercitazioni sulle cripte presuppongono che i famosi antivirus non eseguano la scansione dei programmi eseguiti direttamente dalla memoria. Tuttavia, da quello che ho visto, alcuni di essi (ad esempio Nod32) sono in grado di scansionare la RAM in cerca di modelli noti. Questo mi fa meravigliare ... ecco cosa so:
[File dannoso] - > [Encrypter] - > [Stub + file dannoso crittografato] - > [eseguibile finale]
Se eseguiamo il file eseguibile finale, lo stub decodifica il codice dannoso, lo carica in RAM e poi lo esegue. Penso che un programma antivirus dovrebbe rilevare il codice malevolo mentre risiede nella RAM in un modulo già decrittografato, in attesa di essere eseguito. Mi sbaglio?