Nejde o to, kdo kdy pouští scripty. Jde o to, kdy byly kompilovány viry/tooly. Samozřejmě je možné před kompilací upravit systémové datum a čas, nebo nastavit kompilaci přes nějaký deployment server na určité hodiny (typicky v noci - nightly builds), ale to je moc práce / vir by nemohl reagovat ihned na situaci na "trhu". Pokud se objeví antivir, který má signaturu viru a ten není schopen sám od sebe zabránit detekci (například změnou sebe sama, nebo modifikací toho, co antivir "vidí"), je třeba distribuovat novou verzi dřív, než se dostane antivirová signatura k lidem s napadeným systémem. Nelze čekat na Nightly build. Je dost pravděpodobné, že je tool targetovaný na nějakou instituci, v rámci které se používá jedno bezpečnostní řešení. Ideální je pak adaptovat se na frekvenci vydávání signatur výrobce daného řešení, případně napadnout rovnou je. Ostatně antivirová řešení jsou často velice děravá - jsou často psána dost low-level způsobem a často obsahují kód, který je dlouhá léta starý.