Bueno me pase un rato entre los temas de indetectables.com y vi que la mayor tematica alli son los crypters (una gran comunidad dedicada a malware por cierto) y me llamo la atencion el tema de los crypters y los mecanismos en concreto el de runtime.
Tengo diversas dudadas:
1- Si yo tengo tengo un malware por ejemplo y lo vendo por decir algo y los antivirus lo acaban detectando y le paso un crypter de tipo runtime lo mas posible es que los antivirus lo acaben detectando como una variante no?(el crypter seria publico) pero encanvio si distribuyo el malware con el .exe ya "crypteado" y me lo detecta el antivirus a la larga el codigo sin ningun crypter me lo detectaran los AV?
2- Esta no es referente a los crypters pero la formulo igualmente porque se me acaba de ocurrir. Si yo abro un malware con modo de lectura/escritura em binario y lo concateno con una copia por ejemplo de google chrome en formato binario. El codigo resultante seria un malware mas un buscador(se que alomejor no seria tan facil, es decir qe tendria que canviar alguna cosa del binario) que cuando se ejecutara funcionaria?
3- Otra duda es si todavia es eficiente la tecnica de runtime frente a las heuristicas (o por lo menos tiene mas posibilidades tener una tasa de deteccion mas baja) o ya han implementado tecnicas que por mucho que te curres un crypter la heuristica sigue detectando
PD Si teneis algun buen link de construccion de C/C++ de crypters runtime pasarlo por aqui (si es vb y creeis que el tutorial es bastante bueno (que se explican bien en el video) postearlo tambien