Ja, im Code auf jedenfall, denn man hat ja was zu verbergen.

Aber wenn man's so macht, ist schon mal die Signatur unbekannt, und statische Methoden greifen nicht mehr.

Bei Heuristik sollte die erfolgsquote auch sehr gering sein, da dynamisches Laden und allgemein gültige Signaturerkennung

ja auch stark von der Verschlüsselung abhängig sind. Eine Speicherüberwachung die noch nicht bekannte Signaturen enthält

halte ich auch für eher problematisch, als erfolgversprechend.

Ein ähnliches Problem hatte ich bei CommandAsSys von Asarbad, Datenseqment einfach mit XOR verschlüsselt, und
Antivir hat nicht mehr gemeckert.
War das Teil aber mit ASPack und oder UPX komprimiert, wurde es dennoch erkannt.
Bei einer einfachen XOR des Datensegments aber nicht mehr.
Also was der Virenskanner nicht kennt, frisst er nicht.

Alte Bauernregel?



lg. Astat