A) CORRETO: Pois a compactação é uma técnica de ofuscação do código malicioso que executará as mesmas tarefas maliciosas estando compactado ou não. Quando o analista descompacta o referido arquivo afasta este tipo de ofuscação e melhora a capacidade de entender a sequência de execuções do código.
B)ERRADO: Pois como a operação XOR é uma operação bit a bit não faz sentido dizer que esta operação preserva preserva algum caractere pois caractere não é bit mas um conjunto de bits conforme a encodificação utilizada. Uma operação XOR muda cada bit original para zero se este bit e o de comparação forem iguais e muda para um caso sejam diferentes.
Fonte: https://pt.wikipedia.org/wiki/Porta_XOR
C)ERRADA no gabarito mas eu pensei em considera-la CORRETA pelas seguintes razões:
1. A técnica existe:
"Lyda e Hamrock (2007) apresentam o protótipo de uma ferramenta de análise de arquivos binários denominada Bintropy, que tem por finalidade estimar a probabilidade de um arquivo conter bytes compactados ou criptografados por meio de algoritmos baseados em entropia, ou densidade da informação, que é um método para mensurar incertezas em sequências de números ou bytes. Essa ferramenta analisa detalhadamente os cabeçalhos de arquivos PE, provendo estatísticas rápidas da existência de dados randomizados, permitindo a identificação de malwares compactados ou criptografados. Os resultados da pesquisa indicam que a ferramenta foi útil para identificação códigos criptografados, sem identificar algoritmos ou cifras utilizados".
Fonte: https://repositorio.ucb.br/jspui/bitstream/10869/2197/1/Eliel%20Martins.pdf
2. A técnica é utilizada por ao menos uma das principais ferramentas de análise de códigos maliciosos: o OllyDbg e seu Compressed Code Detection Warning.
Fonte: Página 635 do https://universalflowuniversity.com/Books/Computer%20Programming/Forensics%20and%20Surveillance/Malware%20Forensics%20Field%20Guide%20for%20Windows%20Systems.pdf
Mas pesquisando no Google por outras ferramentas similares sem ser a OllyDbg não encontrei nenhuma com a string de pesquisa:
"compressed code" "detection tools" entropy -Olly
Logo a assertiva esta mesmo errada! :/
D)ERRADA: Pois modificar o entry point no cabeçalho NT não impede o binário de ser executado. Ele será executado a partir do endereço de execução apontado no "entry point"
E)ERRADA: Pois fazer dump (cópia bit a bit) da memória de qualquer código malicioso não necessariamente impede a execução do mesmo código compactado ou descompactado. Na análise estática nunca. Já na dinâmica pode ocorrer que o código em execução detecte a cópia e se modifique para impedir ser analizado. Mas aí ele já está sendo executado e continua sendo possível que ele seja executado novamente.