¿Cómo funciona un Crypter?

¿Qué buscan los anti-virus en un archivo?

Aquí voy a mostrar un modelo muy básico de cómo funciona un Crypter para eludir el software antivirus.

exe archivos son simplemente líneas de instrucción, y cada línea se llama un desplazamiento.

Anti-virus a echar las bases de datos de estas líneas que son conocidos por estar asociados con los archivos maliciosos. Utilizan esa base de datos para comprobar en contra de su archivo para ver si coincide. Si lo hace, entonces se marca como infectado o malicioso. Este tipo de detección se denomina detección de firmas. Los antivirus también usan detección de comportamiento (también llamado detección heurística), es por eso que vamos a ejecutar el código malicioso directamente desde la memoria.

¿Qué hará el Crypter?

Su Crypter va a tomar el contenido de un archivo infectado, encriptación de las mismas (para detección de firmas de derivación), y colocarlo en la parte inferior de un archivo aparentemente libre de virus denomina su "trozo". 
El archivo de código auxiliar a continuación, extraer los datos cifrados de sí misma, descifrarlo, a continuación, extraer y ejecutar en la memoria (para eludir la detección heurística).