Actualmente se pueden diferenciar los Crypters (Cifradores) en dos ramas. Los scantime, que cuando son ejecutados sencillamente descifran en el ejecutable,lo guardan en el disco duro y lo ejecutan... O runtime, que descifran el ejecutable y lo ejecutan desde la memoria...
El scantime seria detectado ya que esta dejando en el disco duro el ejecutable descifrado, por lo que el antivirus lo detectara sin problema, en cambio el runtime no sera detectado, porque ningun AV analiza todo la memoria de todos los procesos en busca de codigo malicioso. Los runtime a veces son detectados por la defensa proactiva o heuristica.

Quitando el polimorfismo, cual seria la ventaja de ejecutar instruccion por instruccion? Me da la sensacion de que seria realmente inestable... ya que es muy dificil abarcar todas las posibles acciones que podria hacer el ejecutable...

Supongo que la heurística hace precisamente eso, ejecuta el archivo "en su mundo", para que le de tiempo a desencriptarse, y luego analiza el archivo descifrado en memoria. Osea, si el antivirus echa un ojo a la memoria lo detectaría, de esta forma no, o le costaría mucho más. El caso es que es tremendamente complicado hacerlo, pero para eso tenemos tiempo libre xD.

Saludos

Si ningun AV analiza la memoria de los procesos como dices, sin hacer nada especial simplemente inviertes un troyano o virus, lo descifras en memoria, y una vez asi, podrias ejecutarlo directamente. ¿no?, porque la intencion no solamente será tener un troyano en memoria, sino que el mismo este activo.

ok vamos por partes, cogemos el archivo de test, lo invertimos por ejemplo, lo ciframos con xor 170 y si quieres podemos añadir un SHR a la derecha y el acarreo que provoque lo colocamos como primer bit de cada byte, ya no tiene la forma original ni de lejos, ahora nos vamos a un programa que lo lee por ejemplo de un archivo donde lo tenemos ya transformado, o no, mejor no lo lee de ningun sitio, el archivo lo tenemos integrado en modo binario dentro del propio programa, y este programa coge el codigo del archivo de test cifrado y dentro de una variable o de una zona de la memoria lo desciframos, para despues ejecutarlo y lo ejecutamos desde este mismo programa, y los AV no lo detectan. ¿estas realmente seguro?, me da la impresion que los AV BUENOS, lo detectaran. ¿no crees?

Entonces no me he explicado bien, el hecho de cifrar de una forma o con un procedimiento AES o de cualquier otra forma no creo que sea lo importante, lo que ocurre es que de la forma que sea, siempre al final tendras el virus o troyano en la memoria en abierto una vez descifrado y cualquier AV decente lo detectará.

Saludos