Добавлю ещё что сейчас любые антивирусные продукты используют в основном три методики скинирования файлов:
1) Сигнатурный анализ, сверяет сигнатуру (определённый кусок, по которому можно явно идентифицировать файл, как простейщий вариант - точка входа) сканируемого файла по своей базе, если находит - сразу же детект
2) СтрингРеференс - анализ файла на подозрительные строки, импорты, и.т.п.
3) эмуляция (Ака SandBox) - пошаговая эмуляция исполнения файла, с последующим анализом его активности
1-й метод отлетает сразу, любой криптер, пермутатор кода, и сразу же сигнатура меняется, идём дальше - второй метод тоже не тянет, т.к. можно просто сделать какую нибудь шифровку строк с помощью того же TEA или RC4 алгоритма, с последующим подбором ключа расшифровки самой-же программой по ходу декриптовки, ну и третий - сэндбоксинг, так же мимо, простейщий вызов какой нибудь неэмулируемой API функции вроде MoveFileA и эвристику приходится остановить обработку файла, к слову таких апи можно придумать тьму, и никогда ниодин эвристик не научится эмулировать их все.. ну и соответственно импорты - сейчас уже никто в лоб не юзает, обычно вызывают по хэшу + забивают импорт всяким леваком, в итоге ничего подозоительного антивирь не находит. Из всего этого можно сделать вывод что нае%бать любой антивирь не составляет труда если есть голова на плечах
Буду рад если кому то пригодится инфа, печатать устал
