چندین راه وجود دارد که نرم افزارهای مخرب می توانند خود را رمزگشایی کنند تا از شناسایی آنتی ویروس جلوگیری کنند:
-
یک کلید از اطلاعات خاص هدف مانند هش هایی از فایل های شناخته شده، نام های کاربری و اشتراک های شبکه را بیابید. توضیحات Ars Technica از گاوس را بررسی کنید.
-
رمز خود را با یک کلید تصادفی، اما نسبتا کوتاه، رمزگذاری کنید. هنگامی که نرم افزارهای مخرب اجرا می شود، باید کلیدی را به زور از بین ببرند. بسیاری از گودال های ویدئویی AV زمان وقوع یک نمونه خاص را می توانند اجرا کنند، اگر فرایند نیروی خلوت طولانی تر از این زمان باشد، بار محرمانه رمزگشایی نخواهد شد.
-
کلید را از اینترنت بازیابی کنید. مهاجم ممکن است سرور وب را با کلید بر روی آن میزبانی کند. سپس آنها می توانند از زمان بندی، اطلاعات IP یا پارامترهای مبتنی بر سرویس گیرنده برای تعیین اینکه آیا آنها باید کلید ارسال شوند، استفاده شود.
البته، برای اجرای بارگیری رمزگذاری شده، نرم افزارهای مخرب باید رمزگشایی شوند. اگر رمزگشایی شود، آنتی ویروس ممکن است آن را شناسایی کند، اما این بدافزار ممکن است ابتدا AV را شناسایی کند.
در نهایت، مکانیزم داشتن بارگیری رمزگذاری شده با استفاده از کلید های مبتنی بر میزبان، تصادفی یا شبکه ممکن است به عنوان یک امضا برای نرم افزارهای مخرب . AV ممکن است بداند که نمونه چه کاری انجام خواهد داد، اما می تواند از انجام آن جلوگیری کند.
