• Сейчас в каждом билде рандомные имена секций
• Совершенно полиморфный код, физически измененный кода лоадера до 50%
• Сам расшифровщик морфится от билда к билду
• Расположение секций сейчас по "далеким" друг от друга адресам, от чего при распаковке файл становится огромным, в итоге какой либо анализ лоадера становится очень и очень трудоёмким
• Криптуется секция данных в том числе, код забивается мусором
• Если лоадер пытаются проанализировать или запустить не под тем, чем надо, очень велика вероятность, что система грохнется, и это происходит только и исключительно при анализе. Представляете как удивятся антивирусники, когда у них моментально слетит все в (не скажу куда) %)
• Все это в 1 Кб! То есть сам лоадер со всеми этими делами увеличился всего лишь на 1 Кб
  

Сделал сразу для наглядности скрин, думаю будет интересно посмотреть любому, там сравниваются два билда и даже немного видно исходный код лоадера

http://img239.imageshack.us/img239/1747/polykn3.jpg

Очень хочу сразу предупредить, что бы не говорили обо всяких полиморфах, метаморфах, какого бы качества отличного они небыли, это все равно задетектится антивирусом рано или поздно, тут просто дело в том, что не просто какаято там так называемая "другая сигнатура", что обычно значит только несколько измененных десятков байт на точке входа и мусоре в коде, а реально добротный полиморфный код, который отлично мутирует, и сам код расшифровщика и все закриптовывает хорошо, это отлично на самом деле, но все равно, как не крути, это только затянет процесс детекта антивирусами, ну и эстетическое удовольствие принесет, а в целом все наверняка будет еще лучше, сейчас и авира при максимальной безопасности не детектит лоадер как закриптованный файл, на самом деле даже сэмулировать не может его Так что пишите, я если что помогу, а обновим все в момент буквально