La mayoría de los tutoriales sobre cifradores asumen que los antivirus populares no analizan los programas ejecutados directamente desde la memoria. Sin embargo, por lo que he visto, algunos de ellos (por ejemplo, Nod32) pueden escanear la RAM en busca de patrones conocidos. Esto me hace preguntarme ... esto es lo que sé:
[Archivo malicioso] - > [Encrypter] - > [Stub + archivo malicioso cifrado] - > [ejecutable final]
Si ejecutamos el archivo ejecutable final, el código auxiliar descifra el código malicioso, lo carga en la RAM y luego lo ejecuta. Creo que un programa antivirus debería detectar el código malicioso mientras reside en la memoria RAM en un formato ya descifrado, a la espera de ser ejecutado. ¿Estoy equivocado?