软件打包

对手可能会执行软件打包或虚拟机软件保护来隐藏他们的代码。软件打包是一种压缩或加密可执行文件的方法。打包可执行文件会更改文件签名，以尝试避免基于签名的检测。大多数解压技术会在内存中解压可执行代码。虚拟机软件保护将可执行文件的原始代码转换为只有特殊虚拟机才能运行的特殊格式。然后调用虚拟机来运行此代码。(引用: ESET FinFisher Jan 2018) 用于执行软件打包的工具称为打包器。示例打包器有MPRESS和UPX。已知打包器的更全面列表可用，但对手可能会创建自己的打包技术，这些技术不会留下与已知打包器相同的工件，以规避防御。(引用: Awesome Executable Packing)