Questo è fatto, in un certo senso. Il malware WannaCry per esempio ha verificato se il dominio iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
è stato registrato e potrebbe essere risolto. Se era presente, il malware si spegne. Il dominio è stato registrato per rallentare la diffusione del malware.
Altri malware potrebbero verificare la presenza di un determinato file sul computer. Se il file è presente, il malware si interromperà da solo. Questo a volte viene fatto per prevenire più infezioni simultanee e talvolta viene fatto come un modo pigro per consentire all'autore del malware di neutralizzarlo sui propri sistemi.
Quindi perché i sistemi antimalware non popolano il tuo computer con queste firme? Semplicemente perché, se il malware è noto in anticipo, è molto più facile semplicemente bloccarlo direttamente con il rilevamento basato sulla firma. Per quanto riguarda l'opportunistica immissione di strumenti di debug sul sistema per ingannare il malware nel pensare che venga analizzato, semplicemente non sono sufficienti tentativi di malware per rilevarlo. Non sarebbe un approccio economico rispetto a, ad esempio, rafforzare il sistema. Un altro motivo è che alcuni malware rilevano il debugging generando un figlio e reciprocamente facendo il debug a vicenda, poiché un solo debugger può essere collegato a un processo in qualsiasi momento. Prendere in giro questo tipo di comportamento anti-debug richiederebbe il collegamento di un debugger a ogni programma che si esegue, nella speranza che uno di essi sia malevolo e terminerà in modo sommario.