Slayer: ESET, Kaspersky und Konsorten (generell alle AVs, die etwas auf sich halten) haben ebenfalls Emulatoren integriert; natürlich unterscheiden sich diese erheblich.

Zum technischen Hintergrund: Sleeü und GetTickCount werden von Emulatoren gerne gehookt (intelligenterweise Ring 0, muss aber nicht der Fall sein).

Sleep, weil man beim Emulieren (sprich: Scannen) Verzögerungen vermeiden will; GetTickCount, da die API selbst schon als Anti-Emulator verwendet wurde (Funktionsweise wie RDTSC).

Die Methode ist praktisch eine Erweiterung der RDTSC/GetTickCount-Methode, beide sind schon _etwas_ älter. Da man Sleep selbst aufruft, kennt man die ungefähre Differenz und kann diese abfragen. Der Rest erklärt sich von selbst.