un código de virus (x bytes de longitud) está XORed con una palabra de x bytes de longitud (lo llamamos T). Esta palabra T se construye repitiendo varias veces una clave secreta de 8 bytes.
el archivo infectado contiene este código de virus XORed (ofuscado), la clave secreta de 8 bytes y un cargador. No sabemos la ubicación de esas 3 entidades dentro del archivo. El cargador, cuando se ejecuta, usa la clave secreta para compilar T y extraer el código del virus.
Si tengo el código de virus original (pero no el cargador ni la clave secreta), ¿cómo puedo determinar si un archivo está infectado?