Preambolo: Nel momento in cui sottometti un eseguibile mai visto a Virustotal, questo diventa noto e la signature viene sincronizzata con tutti gli altri antivirus. Se devi testare il detection-rate di binari "nuovi" scarica le demo degli antivirus e fai dei test in locale, non utilizzare virustotal.
Gli antivirus non lavorano solo con gli hash e la detection statica ma anche e soprattutto con analisi dinamica, per cui molto probabilmente le detection rimanenti derivano da analisi dinamiche (Heuristic-based e behavioural-based).
Non sono un esperto nel rendere malware FUD, ma puoi provare ad utilizzare un altro Obfiscator oppure direttamente dei crypter (in modo che tutte le signature siano differenti e anche il codice stesso sia irriconoscibile).
Tecniche di evasione a run-time sono chiamate "in memory injection" e consistono nell'iniettare del codice malevolo direttamente in memoria. Ci sono diverse tecniche (Process Hollowing, Remote Process Memory Injection, Reflective DLL Injection), ti consiglio però di documentarti meglio online
Gli antivirus non lavorano solo con gli hash e la detection statica ma anche e soprattutto con analisi dinamica, per cui molto probabilmente le detection rimanenti derivano da analisi dinamiche (Heuristic-based e behavioural-based).
Non sono un esperto nel rendere malware FUD, ma puoi provare ad utilizzare un altro Obfiscator oppure direttamente dei crypter (in modo che tutte le signature siano differenti e anche il codice stesso sia irriconoscibile).
Tecniche di evasione a run-time sono chiamate "in memory injection" e consistono nell'iniettare del codice malevolo direttamente in memoria. Ci sono diverse tecniche (Process Hollowing, Remote Process Memory Injection, Reflective DLL Injection), ti consiglio però di documentarti meglio online