He leído que algunos virus, para evitar los AV, utilizan cifradores para cifrar su código para que el AV no pueda detectarlos. así como una contramedida, los AV están programados para buscar el cifrado, en el caso de un virus cifrado, que generalmente está contenido en el cuerpo del malware.
Entonces, mi pregunta es: ¿Cómo distingue un AV entre los crypters de malware y las funciones criptográficas normales que pueden estar contenidas en una aplicación legítima?
Los crypters y crypto legítimos comunes en las aplicaciones son muy diferentes y tienen firmas muy diferentes.
Los ejecutables binarios no pueden ser simplemente "cifrados" porque no podrán ser ejecutados por la CPU o el sistema operativo. Los crypters son una herramienta de ofuscación que se utiliza para convertir su código en un código de ingeniería y de ingeniería inversa muy difícil de leer. Esto se hace con una variedad de métodos y la mayoría no involucra el tipo de "criptografía" que encontraría en aplicaciones legítimas.