Полиморфная малварь

Полиморфная малварь использует слой шифрования/упаковки и небольшой мутирующий декриптор, благодаря чему каждая копия файла выглядит для сигнатурных антивирусов по-разному, хотя расшифрованная нагрузка идентична. Это сводит на нет хеш-сигнатуры и побайтовое сравнение. Полиморфные движки используют перестановку инструкций, мусорный код и переменный выбор регистров. В отличие от метаморфной малвари, сам payload не переписывается — меняется только обёртка. Эффективная защита — поведенческое обнаружение, сканирование памяти после распаковки, правила YARA на расшифрованные строки, EDR/XDR и ML-классификаторы, обучаемые на динамических признаках, а не только на байтах файла.