Un empaquetador es una forma de ofuscar un programa ejecutable, es decir, transformarlo para que el resultado sea ejecutable y tenga el mismo efecto cuando se ejecuta, pero se ve diferente (por lo que no será detectado por un antivirus estático). Los malos a menudo usan empacadores personalizados para ofuscar su malware, para que sea menos probable que el antivirus detecte el malware o para que a los proveedores de antivirus les resulte más difícil hacer ingeniería inversa del malware y descubrir qué está haciendo.
¿Es posible detectar si un ejecutable en particular se ha empaquetado con un empaquetador personalizado? En otras palabras, dado un ejecutable, me gustaría clasificarlo como "se ha empaquetado con un empaquetador personalizado" o "no". ¿Las herramientas antivirus existentes son buenas para detectar si un ejecutable se ha empaquetado con un empaquetador personalizado?
Tengo especial curiosidad por la siguiente variante más fácil del problema. Supongamos que conozco un empaquetador personalizado en particular que está siendo utilizado por los malos. ¿Es posible reconocer los ejecutables que se han empaquetado con este empaquetador? En otras palabras, dado un ejecutable E y un empaquetador P, me gustaría clasificar E como "fue empaquetado por P" o "no fue". ¿Existen técnicas conocidas para hacerlo? ¿Qué tan efectivos son?