2) En este caso ya que es una aplicación con interface botones y demás controles, no es posible saber con exactitud con simpemente ejecutar y esperar, se debe ejecutar todas las funcionabilidades que tenga la aplicación al usar los controles. En el caso del Loader que mencione en el punto 1, tambien es posible enviar mensajes a los controles de la aplicación desde el Loader para ejecutar las funcionabilidades, enviar todos los mensajes posibles incluso algunos como WM_MOUSEMOVE que podría ser usado para detectar si realmente está siendo usada por un usuario o manipulada por algun otro programa, hay muchisimos mensajes.
4) Las aplicaciones puede tener funciones que se ejecutarán en un futuro, algunos les llaman bombas logicas: por ahora no muestran ningun comportamiento extraño pero luego quien sabe.
5) La única manera de saber con exactitud todas las acciones de una aplicación es teniendo el código fuente o haciendo un analisis muy extenso usando tecnologia avanzada para analisis como un Hipervisor, estoy actualmente terminando uno espero tenerlo en unos meses.
Totalmente de acuerdo, bueno, creo que es algo que resulta obvio para cualquiera, aunque de todas formas en la V.M probé casi todas las características de la app (todos los botones, haciendo escaneos y modificando opciones), pero tal vez no debí decir "
Está totalmente limpio" ya que cómo tu has comentado, solamente observando ese código fuente que nunca se llegó a compartir podriamos salir de dudas sobre si realmente está infectado o no... ya que el autor del programa podría ejecutar un código malicioso al cumplirse "X" condición en la aplicación, quien sabe lo que realmente hará...
A mi sinceramente me da igual la reputación que una persona tenga si esa persona hace las cosas de esta manera tan... (prefiero no decir nada más), pero es que me mosqueo, estás cosas me mosquean mucho de verdad, por que, para mi, publicar programas gratuitos sin compartir el código fuente no es nada respetable, en absoluto, solo genera negatividad y más cuando se trata de un programa de esta temática.
3) Servicios de Sandbox como Anubis son extremadamente faciles de detectar, solo en el caso de Anubis es posible detectarlo por medio de información del hardware, procesos, modulos o una combinación de ellos, este punto incluye programas como Process monitor ( Por medio de nombre de clases de ventana, controles, etc ) de esta manera es posible que al detectar este tipo de herramientas un programa puede ocultar sus acciones maliciosas y no mostrar algún comportamiento extraño.
Cabe mencionar que además es facilísimo encontrar snippets de diversos anti-sandboxes para muchos lenguajes de programación, esto quiere decir que si el autor del programa quisiera entonces no tendría más que googlear un poco y hacer un copy/paste (o desarrollarlo por si mismo) para añadirle ese tipo de protección o evasión de detección, pero que le vamos a hacer...
De todas formas, también cabe mencionar que generalmente un código anti-sandbox (o packers con características anti-sandbox) se utilizan directamente para denegar la ejecución de la aplicación (para que no corra la app en una V.M), no se suele utilizar arbitrariamente "en mitad de la aplicación", pero bien podría ser, ya que dependería de las intenciones del autor.
Me parece genial la información que has aportado para dar a conocer varios detalles importantes a los usuarios, y así hacer saber también que mi análisis no es del todo fiel, probablemente ningún análisis de nadie sería concluyente al 100%, estas cosas nunca parecen serlo.
PD: Y que no hayas sido ofensivo, se agradece todavía más si cabe. Sin sarcasmo.
Saludos!