Метаморфная малварь

Метаморфная малварь идёт дальше полиморфизма: при каждом заражении она перекомпилирует или преобразует всю полезную нагрузку, а не только внешнюю зашифрованную оболочку. Движки применяют замену инструкций, переименование регистров, выравнивание потока управления, перестановку блоков кода и вставку «мёртвого» кода, поэтому два образца могут не иметь общих байтовых последовательностей, но вести себя одинаково. Это практически нейтрализует статическое сигнатурное обнаружение и вынуждает использовать динамический анализ, семантическое сходство, поведенческий EDR и эмуляционные сканеры. Из-за сложности метаморфные движки редко встречаются в массовой малвари, но появляются в исследованиях, продвинутых вирусах и отдельных целевых тулкитах.