Интереса ради провёл небольшой эксперемент. Хотелось выяснить насколько глубоко антивирусы цепляют свои сигнатуры на исполняемые модули вирусов и используют ли какие-то особые техники анализа закриптованных файлов.
Для этих целей я скачал с инета семпл троянца SpyEye, с нормальным детектом на вирустотале (35 / 47). И написал небольшой пермутатор, который представляет из себя простейший алгоритм перестановочного шифра, который на входе получает какой-то блок данных и переставляет их по указанному вектору перестановок. Далее я просто применял данный алгоритм к секциям исполняемого модуля и пропускал его через вирустотал.
