un codice virus (x byte lungo) è XORed con una parola lunga x byte (chiamiamo questo T). Questa parola T è costruita ripetendo più volte una chiave segreta da 8 byte.
il file infetto contiene questo codice virus XORed (offuscato), la chiave segreta di 8 byte e un caricatore. Non conosciamo la posizione di quelle 3 entità all'interno del file. Il loader, una volta eseguito, utilizza la chiave segreta per creare T ed estrarre il codice del virus.
Se ho il codice del virus originale (ma non il caricatore né la chiave segreta), come posso determinare se un file è infetto?