PE Sig Detector ها خیلی محدود هستن و ساختار پیچیده ای ندارن و فریب دادنشون چندان دشوار نیست اما آنتی ویروسهائی مثل KAV ساختار پیچیده ای دارن و از روشهای ترکیبی برای شناسائی ویروسها استفاده میکنن ؛ با تغییر EP فایل و اضافه کردن دو تا جامپ نمیشه براحتی فریبش داد .
قاعدتا" بهترین راه برای پنهان ماندن از دید آنتی ویروس اولا استفاده از یک پکر شحصی است که موتور AV موفق نشه بسادگی Unpack اش کنه ، و دوما" استفاده از روشهائی است که باعث میشه کد در زمان اجرا کمترین مبادله رو با دیسک داشته باشه . malware های پیچیده معمولا تلاش میکنن پس از اجرا شدن Loader و دریافت کد باینری اصلی مثلا" از طریق شبکه و بازسازی اون روی حافظه بدون نوشته شدن روی دیسک ابتدا میزان مجوز موجود رو بررسی کنن و در صورت امکان روتکیت کرنل مودشون رو نصب کنن که با هوک *Zw های مهم حتی جلوی عملکرد صحیح درایورهای آنتی ویروس رو بگیرن ، و ... بقیه اش دیگه به شرایط و موقعیت بستگی داره .
در مجموع قدم اول داشتن یک پکر به اندازه کافی خوب هست . کدی که موفق بشه از on-demand scanner یک آنتی ویروس عبور کنه ، شانس زیادی برای بقا داره .
پاسخ با نقل قول