El concepto al que se refiere es: detección de píldora roja. . Los malos se han dado cuenta del hecho de que los buenos pueden poner fácilmente un malware en una caja de arena virtual para realizar un análisis dinámico, por lo que algunos se basan en la acción de la píldora roja. Para los hipervisores comunes, realizar una comprobación de controlador simple mostrará si el invitado se está ejecutando en vmware, xen u otros hipervisores.
Esto tiene poco impacto en el análisis forense. Cualquier buen investigador forense tendrá recursos para realizar análisis fuera de un entorno de máquina virtual. Simplemente, usar un invitado de VM (es decir, automatización) para realizar análisis forense simplificado de análisis de malware para los buenos. No todo el malware hace detección hoy. Teniendo en cuenta que los malos, por lo general prefieren mantener los paquetes pequeños, incrustar funciones adicionales como la detección vm agrega complejidad adicional al código. Tal detección solo puede estar presente cuando los malos están realmente preocupados por ser detectados. Dado que la mayoría de los paquetes de malware se dirigen a la fruta que cuelga más baja (de la que hay muchos), las funciones adicionales (es decir, el cifrado, la detección de vm, la esteganografía, etc.) realmente no son necesarias. Por lo tanto, los modelos existentes de automatización forense siguen siendo efectivos.