¿Cómo es posible que los programas maliciosos se oculten utilizando la criptografía polimórfica cuando los programas deben compilarse primero en código de máquina? No puedes ocultar criptográficamente el código de máquina, ¿verdad? Entonces el procesador no podría ejecutarlo. Sin embargo, ¿no sería tan sencillo identificar las amenazas de malware una vez que llega al código de máquina en la memoria?
El malware polimórfico no puede realizar las mismas acciones exactamente de la misma manera cada vez. Los programas antimalware deberán ser capaces de interpretar el resultado de un conjunto de acciones que pueden no ser muy confiables si el autor del malware lo hace bien al hacer que las acciones parezcan benignas y desencadenen falsos positivos.
Incluso cuando se reduce a un código de máquina, puede realizar la misma acción en una amplia variedad de formas. No sé el código de máquina, así que no escribiré ninguno, pero para una instancia realmente simple, hay muchas maneras de agregar dos números:
x + y = z
x - -y = z
|-x - y| = z
y + x = z
y - -x = z
|-y - x| = z
Por lo tanto, incluso si el programa descifra su propio código durante el tiempo de ejecución para evitar que el software antimalware lo identifique, puede actuar de varias maneras para lograr el mismo resultado.
Lea otras preguntas en las etiquetas cryptography antivirus