Ad esempio, se un nuovo rootkit inizia a diffondersi e raggiunge un honeypot del malware, qualsiasi esperto specializzato in sicurezza potrebbe ottenere un dump della memoria del sistema, trovare il codice dannoso e decodificarlo, giusto? Quindi, cosa impedisce al malware noto di essere prontamente neutralizzato una volta lanciato?
Penso che il modo più semplice per rispondere alla tua domanda sia che la maggior parte dei malware è codificata utilizzando Codice polimorfico e la maggior parte degli Anti -Virus usa ancora il rilevamento basato sulla firma.
La realtà è che una buona parte della popolazione non mantiene aggiornato il software, il che significa che il vettore di attacco originale potrebbe potenzialmente essere riutilizzato con un carico utile diverso. Un sacco di persone mettono molta attenzione e impegno nella prevenzione, tuttavia non molti la mettono in evidenza quindi una volta che una scatola è stata posseduta, di solito c'è una strada da riutilizzare.
Passaggio 1, il malware usa la tecnica del mascheramento del codice.
Passaggio 2, il creatore di malware utilizzerà la scansione del codice modificato tramite il motore di ricerca Antivirus locale. Se rilevato, ripeterà il passaggio 1.
È una corsa al braccio costante.