マルウェアを静的なファイルで解析しようとすると、さまざまな妨害・偽装工作が障害になるんだけど、検知はメモリに展開されたあと、と言う風に割り切っちゃえば良いのかも知れないですね。まーそのあたりが今のウイルス検知トレンドというか、未知ウイルス検知につながっているんだけど、そういう感じだとどうしても水際度が高いっすよね。
問題は「良玉ソフトウエア」も「悪玉ソフトウエア」も、同じように圧縮技法や難読化などの手法を使う、というところなんだけど、そういうものをひっくるめて、何か識別するための閾値のような設定が可能なら良いんだけどねえ。