剥离有效负载

对手可能会尝试通过删除符号、字符串和其他人类可读信息使有效负载难以分析。脚本和可执行文件可能包含变量名称和其他帮助开发人员记录代码功能的字符串。符号通常由操作系统的 linker 在编译可执行有效负载时创建。逆向工程师使用这些符号和字符串来分析代码并识别有效负载中的功能。(引用: Mandiant golang stripped binaries explanation)(引用: intezer stripped binaries elf files 2018) 对手可能会使用剥离有效负载以使恶意软件分析更加困难。例如，编译器和其他工具可能提供删除或混淆字符串和符号的功能。对手还使用剥离有效负载格式，例如仅运行 AppleScripts，这是AppleScript 的编译和剥离版本，以逃避检测和分析。缺乏人类可读信息可能直接阻碍有效负载的检测和分析。(引用: SentinelLabs reversing run-only applescripts 2021)