Una pregunta bastante teórica: asumiendo que hay memoria con un malware dentro de ella. El objetivo del malware es detectar si una aplicación legítima está a punto de eliminar el contenido de la memoria.
Si se reconoce, el malware copiará las partes, que aún no se han eliminado, a otras ubicaciones que ya se han eliminado y, por lo tanto, revertirá el proceso de eliminación.
Mis preguntas son: ¿cómo podría un malware advertir que se inició una operación de eliminación? ¿Y podría el malware reconocer de alguna manera las direcciones del proceso de eliminación?
De uno considera la eliminación en términos de sobrescribir la memoria existente con un valor constante (0 o 1), eliminar un archivo grande debería disminuir la entropía de los contenidos de la memoria. Sin embargo, creo que este no es un enfoque razonable.