Деобфускация/декодирование файлов или информации

Злоумышленники могут использовать Обфускацию файлов или информации для сокрытия артефактов вторжения от анализа. Им могут потребоваться отдельные механизмы для декодирования или деобфускации этой информации в зависимости от того, как они намерены её использовать. Методы для этого включают встроенную функциональность вредоносного ПО или использование утилит, присутствующих в системе. Один из таких примеров — использование certutil для декодирования исполняемого файла средства удаленного доступа, который был скрыт внутри файла сертификата. Другой пример — использование команды Windows copy /b или type для сборки бинарных фрагментов в вредоносную полезную нагрузку. Иногда может потребоваться действие пользователя, чтобы открыть файл для деобфускации или расшифровки в рамках Выполнения пользователем. От пользователя также может потребоваться ввести пароль для открытия защищенного паролем сжатого/зашифрованного файла, предоставленного злоумышленником.