Ningún antivirus que se precie puede ser cerrado desde Batch y mucho menos sin privilegios de administrador.

El peso es algo anecdótico teniendo en cuenta que tú buscabas velocidad ^^

Menudo cambio Todavía tengo que analizar ese código para ver que hace Cuantos bytes ocupa con la lookup table esa?

El desarrollo de malware para Mac OS X no dista mucho del de Linux o Windows. El malware se construye principalmente de llamadas al sistema tal y como hace cualquier tipo de software. Así que la diferencia principal será a qué librerías se llamarán...

Si bien hay poco malware en relación al que hay para Windows se observa un crecimiento en estos últimos meses. Con suerte la gente dejará de pensar que es invencible por usar X sistema operativo... Si no han sido objetivo del malware del montón (el que se hace por ganar dinero, principalmente) es por el bajo uso en comparación a Windows...

Si tuviese que estudiar una plataforma pensando en el futuro del malware sería Android/iOS.

Saludos

He leído de un ingeniero de Intel que no hay forma fácil de hacer ror/rol desde SSE ya que no está diseñado en la arquitectura y la forma que he visto recomendada es la de hacer una máscara or duplicando el registro, usando shift sin rotación... Exactamente lo que hacías en un inicio.

Cuando acabes de hacerlo para SSE hazlo para CUDA jaja

Bueno, todo el proceso del cifrado es también para asegurarte la fuente del mensaje. Es por eso que debes aplicar un "hash con clave" que sería lo que se ve en la imagen de ejemplo:


Respecto a la compresión como tú bien dices sólo tiene sentido para grandes bloques de datos. Sobretodo la compresión sin pérdida...

Bueno, la idea es que encuentres una instrucción que al reemplazarla por nop deje la shellcode indectable. Entonces buscas la forma de hacer la misma acción que la instrucción reemplaza con otros opcodes...

Sí, las librerías DLL son una solución. Creas una DLL para el server que exporte ciertas funciones y tu server se encarga de llamarlas y de ofrecerles un interfaz con el comunicarse de forma segura con el cliente.

Además de asignar un identificador y clave a cada servidor generado, con "por sesión" me refiero a que cuando el servidor y el cliente se conecten deben negociar el uso de una clave.
Yo por ejemplo uso AES128-CBC utilizando un IV(Vector de inicialización de AES) negociado por sesión y una clave por servidor.

Si quieres saber más sobre MAC te recomiendo leer algún libro de iniciación a la criptografía

Nah, me refiero a que vayas reemplazando instrucciones por nops a ver si la detección heurística es culpa del bucle o de alguna instrucción específica o qué...

Nunca he jugado con IDS pero imagino por el tag que se trata de una detección heurística.

Ves nopeando instrucciones o grupos de instrucciones y mira a ver cuando deja de saltar...