Por ejemplo, si un nuevo rootkit comienza a propagarse y llega a un honeypot de malware, cualquier especialista en seguridad cualificado podría obtener un volcado de memoria del sistema, encontrar el código malicioso y realizar una ingeniería inversa. Entonces, ¿qué impide que el malware conocido se neutralice fácilmente una vez que se inician?
Creo que la forma más fácil de responder a tu pregunta es que la mayoría del malware se codifica utilizando Código Polimórfico y la mayoría de Anti -El virus sigue utilizando la detección basada en firmas.
La realidad es que una buena parte de la población no mantiene su software actualizado, lo que significa que el vector de ataque original podría potencialmente ser explotado nuevamente con una carga útil diferente. Mucha gente dedica mucha atención y esfuerzo a la prevención, sin embargo, no muchos lo ponen en detección, por lo que una vez que se posee una caja, generalmente hay un camino para volver a explotar.
Paso 1, la técnica de enmascaramiento de código de uso de malware.
Paso 2, el creador de malware utilizará escanear su código transformado a través del motor de búsqueda local de Antivirus. Si se detectan, repetirán el paso 1.
Es una carrera de brazos constante.