反混淆/解码文件或信息

对手可能会使用混淆文件或信息来隐藏入侵的工件。他们可能需要单独的机制来解码或反混淆这些信息，具体取决于他们打算如何使用它。执行此操作的方法包括恶意软件的内置功能或使用系统上存在的实用程序。 一个例子是使用certutil解码隐藏在证书文件中的远程访问工具可执行文件。(引用: Malwarebytes Targeted Attack against Saudi Arabia) 另一个例子是使用Windows copy /b命令将二进制片段重新组装成恶意有效负载。(引用: Carbon Black Obfuscation Sept 2016) 有时用户的操作可能是打开它以进行反混淆或解密的一部分，例如用户执行。用户还可能需要输入密码以打开对手提供的密码保护的压缩/加密文件。(引用: Volexity PowerDuke November 2016)