¿Por qué no los "piratas informáticos" (o más precisamente, el "creador de virus") simplemente hacen un reempaquetado de su malware para evitar el software antivirus? Debido a que resuelve el problema de la firma del virus (tipo de hash), ¿no es así? ¿Cómo puede el software antivirus detectar este tipo de modificaciones fáciles?
Los hashes de archivos no son, con mucho, el método más útil para detectar malware (a diferencia de hace un par de décadas). En la actualidad, el reconocimiento de malware (y, a veces, la clasificación) se basa en gran medida en el análisis heurístico en tiempo real de sus operaciones. Este análisis trata con una gran cantidad de datos, que en su mayoría consisten en las llamadas al sistema realizadas por la aplicación y su orden. Las llamadas al sistema se rastrean a través de una técnica llamada enganchando .
Por supuesto, otras cosas se tienen en cuenta. Por ejemplo, la mayoría de los autores de malware por ahí fallan dramáticamente con sus empaquetadores y criptógrafos, lo que hace obvio que un archivo estaba, bueno, empaquetado / encriptado. Y algunos simplemente usan packers / cryptors conocidos que generan archivos que son fácilmente reconocibles por los antivirus.
Sí, puedes buscar código Metamórfico ( enlace ) y código Polimórfico ( enlace ). Son técnicas para hacer que el malware sea más difícil de detectar al cambiar el código cada vez que se ejecuta.
La mayoría de los productos AV se basan en hashes, la otra forma de detectar malware es mediante el análisis heurístico en el que observan cómo se comporta el software; sin embargo, esto no está perfeccionado y puede dar muchos falsos positivos.
Lea otras preguntas en las etiquetas hash virus antivirus antimalware