Bueno, hay técnicas de ofuscación más complejas. Por ejemplo, malware metamórfico y polimórfico.
Hay un artículo sobre searchsecurity por Margareth Rose que detalla cómo funciona:
Los malware metamórficos y polimórficos son dos categorías de maliciosos
Programas de software (malware) que tienen la capacidad de cambiar su código.
a medida que se propagan.
El malware metamórfico se reescribe con cada iteración para que cada
La versión sucesiva del código es diferente de la anterior.
Los cambios en el código dificultan los antivirus basados en firmas.
Programas de software para reconocer que diferentes iteraciones son las mismas.
programa malicioso.
A pesar de los cambios permanentes en el código, cada iteración de
El malware metamórfico funciona de la misma manera. Cuanto más largo sea el malware
permanece en una computadora, cuantas más iteraciones produce y más
Las iteraciones son sofisticadas, lo que lo hace cada vez más difícil para
Aplicaciones antivirus para detectar, poner en cuarentena y desinfectar.
El malware polimórfico también realiza cambios en el código para evitar la detección. Eso
tiene dos partes, pero una parte permanece igual con cada iteración,
lo que hace que el malware sea un poco más fácil de identificar.
Por ejemplo, un virus polimórfico podría tener una rutina de descifrado de virus
(VDR) y un cuerpo de programa de virus encriptado (EVB). Cuando un infectado
la aplicación se inicia, el VDR descifra el cuerpo del virus cifrado de nuevo
a su forma original para que el virus pueda realizar su función deseada.
Una vez ejecutado, el virus se vuelve a cifrar y se agrega a otro.
aplicación host vulnerable. Debido a que el cuerpo del virus no está alterado,
proporciona un tipo de firma compleja que puede ser detectada por
sofisticados programas antivirus.
En otro ejemplo, una nueva clave podría generarse aleatoriamente con cada
copiar para cambiar la apariencia del cuerpo del virus encriptado, pero la
La rutina de descifrado de virus debería permanecer constante. En cualquier escenario,
es la parte estática del código que hace posible que un
Programa antivirus para identificar la presencia de malware.
Se considera que el malware metamórfico es más difícil de escribir que
Malware polimórfico. El autor puede usar puede usar múltiples
Técnicas de transformación, incluyendo cambio de nombre de registro, código.
permutación, expansión de código, reducción de código y código de basura
inserción. En consecuencia, técnicas avanzadas como las genéricas.
Escaneado de descifrado, análisis heurístico negativo, emulación y acceso.
Para la detección se requieren tecnologías de virtualización.
Ahora, si está intentando mantener las cosas pequeñas, XOR es una excelente manera de escribir su virus. XOR es una instrucción que su procesador entiende, por lo que esto significa que para implementar un codificador XOR solo necesitará unas pocas líneas de código de ensamblaje (si está escribiendo el virus en ensamblaje) en lugar de grandes cantidades de código cuando quiera implementar de las técnicas antes mencionadas.