Incorrecta compilación para liberación.
victima.exe  http://www.sendspace.com/file/tv20f1

Heuristica estatica? Más bien seria escaneo de bytes utilizando algún algoritmo. Pero sí, la conversación se desvio.
¿Y como demonios la heuristica dinamica puede ser una maquina virtual? La tecnologia heuristica dinamica ya existia
antes que la implementación de VMs en Anvitirus de hecho hoy en dia hay Antivirus que no tiene una VM pero sí un
emulador de código y que hacen uso de heuristica dinamica junto con el emulador para la detección. por ejemplo
Avira, Eset nod32.

En Comodo sobre Windows de 32-bits de nada sirve hacer unhooking de modo usuario, apuesto lo mismo que en Avast, no sé no lo he
comprobado, en Comodo sobre Windows de 64-bits te pregunto de que sirve hacer unhooking de modo usuario por ejemplo en NtCreateFile
para escribir en el disco y saltarse la sandbox?

Bueno en realidad yo cite una duda de él pensar que mediante la detección de modulos cargados por la sandbox haria
de tu malware sea indetectable por los Antivirus es erroneo.

Mirar sandboxie es simplemente una sandbox, no hay analisis para la detección y eliminación del malware.
Avast, Comodo son Antivirus que incluyen una sandbox pero eso no quiere decir que si el usuario decida no
ejecutar en ella el archivo no seria analisado, este es siempre analizado. habria que saber
Pero Karcrack, si piensas que estoy equivocado danos tu punto de vista demostrando que estoy en lo incorrecto,
si fuese así es tiempo de programar algún POC

Qué articulo?

No sólo desensamblarlo, depurarlo, analizarlo, etc. Malware/Virus son simplemente programa como otros, aprender a como
hacer lo que dije en programas comunes luego leer sobre analisis de malware

Para el tema de ocultarse sobre la red esta este hilo:
http://foro.elhacker.net/seguridad/pueden_rastrearme_si_uso_tor-t408839.0.html

Karcrack, El problema principal en el tema '¿Saltarse heuristicas y sandbox modeando?' fue la confusión de terminos
Si el Antivirus esta detectando el malware por heuristica es porque esta siendo emulado, VM y lo que se debe hacer
es detectar si el código esta siendo emulado además de cualquier posible VM. Lo mismo esta sucediendo aquí por
eso estoy de acuerdo con Buster.

Y Además noté que en tu código agregas guard32.dll/guard64.dll para supuesta detección de la sandbox pero
en ambos casos este o no el programa en la sandbox siempre será cargado lo unico que se conseguirá es que el
programa no se ejecute en ningun Windows que tenga instalado el Comodo, ese no es el punto no? Diras que los
hooks de modo usuario son la sandbox porque probablemente lo leiste en algun articulo o te equivocaste de nombre
del modulo?

Por eso el uso de sandbox en los Antivirus en la mayoria de los casos es decisión del usuario ya que la sandbox
de los Antivirus sólo restringen acciones maliciosas.

Y habria que aclarar antes de entrar en confusión como sucedio en el otro tema, Vagish quiere detectar si el
programa esta siendo analizado por el Antivirus sandbox/VM.

En el caso de Avast que tiene una sandbox y se logra detectar si el programa esta dentro pero eso no quiere decir que
el malware será indetectable, la sandbox de Avast tiene otro tipo de tarea como dije por eso el problema se
resuelve mediante la detección del emulación.

Agregado:
Noten la diferencia entre los programas como Sandboxie y el Analisis de Antivirus.

Voto por Buster_BSA el es un usuario con un gran conocimiento conocido en varios foros también.
Pero sí, es posible 'salirse' de la sandbox si se encuentra una vulnerabilidad.

Correcto.

Cuando me refiero a saltarse la emulación es evitar que se continue analizando el código en busca de malware y me refiero
a 'saltarse' porque algunos antivirus simplemente tiene un emulador de código como su super protección.
Qué discusión?

Tendras que depurar el nucleo del Antivirus que por lo general en un driver para kernel.
Los Antivirus no funcionan de igual manera como Sandboxie por ejemplo, que simplemente se puede detectar si se esta dentro de la
'sandbox'  con la detección de un posible modulo cargado. En los Antivirus que implementan una sandbox o más bien una VM el código
es emulado y si llegasen a cargan algún modulo dentro de el espacio de memoria del proceso este no seria visible en la lista ya que seria
sólo cargado en la emulación, nota la diferencia entre los modulos que se podrian cargan en la emulacion y otros posibles modulos para
otros propositos, se tendria que depurar como dije. Otros simplemente emulan el código y el entorno emulado es bien limitado y son bien
faciles de saltarse.

En Kaspersky se implementa una VM y emula el código dentro antes de ejecutarlo en el verdadero entorno, esta en klif.sys. Claro que
esta tecnologia se sus ventajas y desventajas.