как работают антивирусные аналитики с протекторами?

Ведь чтобы извлечь и проанализировать "сильно" обфусцированный код нужно прилично времени

конечно, поэтому они зачастую тратят на то, чтобы понять алгоритм обфускатора очень много времени и это с учётом их огромного опыта

однако учитывайте, что разобравшись один раз с каким-то протектором последующие его модификации уже разбираются гораздо проще

и самое главное, на чем вирусные аналитики экономят свое время - когда появляется новый протектор, которым защищается вредоносный код, то не надо тратить много времени на его разбор, можно начать детектировать файлы уже по протектору (ведь им защищают только вредоносное ПО и вероятность ложного срабатывания минимальна) - в этом случае анализ может занять и секунды :)

с протекторами, которые используют и легальное ПО и вредоносное, уже приходится работать аккуратно и создавать раскриптовщики/антипротекторы, но опять же в наличие есть и доступное время и руки и огромный опыт.

P.S.

опять же надо понимать, что если появляется вредоносный файл, закрытый неизвестным и очень сложным протектором/обфускатором, то нет надобности бросать все средства на то, чтобы его оперативно деобфусцировать, существует много решений понять, что делает файл и так и детектировать, например, по поведению - тут уже никакая обфускация не поможет