交付后编译

对手可能会尝试通过将文件作为未编译代码交付给受害者，使有效载荷难以发现和分析。基于文本的源代码文件可能会规避针对可执行文件/二进制文件的保护的分析和审查。这些有效载荷在执行之前需要编译；通常通过本机实用程序如ilasm.exe(引用: ATTACK IQ)、csc.exe或GCC/MinGW。(引用: ClearSky MuddyWater Nov 2018) 源代码有效载荷也可能被加密、编码和/或嵌入到其他文件中，例如通过网络钓鱼交付的文件。有效载荷也可能以本机操作系统无法识别且本质上无害的格式交付（例如：macOS/Linux上的EXE），然后在稍后使用捆绑的编译器和执行框架重新编译为适当的可执行二进制文件。(引用: TrendMicro WindowsAppMac)