メモ

ウイルス対策ソフトは定義ファイルとマッチングして、ウイルスか否かを判断するのは常識ですよね？ただ、ウイルス側も検出されることを回避するためにいろんな技術を採用しているわけです。
たとえば、下記の二種類、ポリモーフィック、メタモーフィックです。
【ポリモーフィック】
自身を暗号化して、バイナリパターンを変化させるウイルス
【メタモーフィック】
自身を書き換えて、バイナリパターンを変化させるウイルス
このように、自身のバイナリパターンを変化させるわけです。
定義ファイルで定義されたバイナリパターンとのパターンマッチング方式では、バイナリパターンの変化は、検出の回避において非常に大きな効果があります。
定義されているバイナリパターンとバイナリが違っていれば当然ながら検出することができませんし、毎回バイナリパターンがことなる場合、そもそも定義ファイルの作成が困難な状態となります。
実は、上記でお話したポリモーフィックウイルスは、複合化アルゴリズム記述部分があり、複合化アルゴリズムの部分のパターンは、変化しないので、この部分を定義ファイル化することで従来のパターンマッチングで検出することができます。
面倒なのは、メタモーフィックです。
メタモーフィックは 結果的に同じ動作をするように、順番を入れ替えます 。

http://www.computerworld.jp/blogs/d/204666/%E3%82%A6%E3%82%A4%E3%83%AB%E3%82%B9%E3%81%AE%E6%A4%9C%E5%87%BA%E5%9B%9E%E9%81%BF%E6%8A%80%E8%A1%93