Il concetto a cui ti riferisci è chiamato rilevamento di pillola rossa . I cattivi sono diventati saggi sul fatto che i bravi ragazzi possono facilmente mettere un malware in una sandbox virtuale per fare analisi dinamiche, quindi alcuni stanno costruendo azioni di pillola rossa. Per gli hypervisor comuni, eseguire un semplice controllo del driver mostrerà se l'ospite è in esecuzione su vmware, xen o altri hypervisor.
Questo ha un piccolo impatto sulla scientifica. Qualsiasi buon investigatore forense avrà risorse per fare analisi al di fuori di un ambiente VM. Semplicemente, utilizzando un guest VM (cioè automazione) per eseguire analisi di malware forense semplificate per i bravi ragazzi. Oggi non tutti i malware rilevano. Considerando che i cattivi solitamente preferiscono mantenere i pacchetti piccoli, l'incorporazione di funzioni aggiuntive come il rilevamento di vm aggiunge ulteriore complessità al codice. Tale rilevamento può essere presente solo quando i cattivi sono davvero preoccupati di essere rilevati. Dal momento che la maggior parte dei pacchetti di malware è indirizzata al frutto in sospensione più basso (che ce ne sono molti), non sono necessarie funzionalità aggiuntive (crittografia, rilevamento vm, steganografia, ecc.). Quindi, i modelli esistenti di automazione scientifica sono ancora efficaci.