解混淆/解码文件或信息

攻击者可能会混淆文件或信息来隐藏入侵的工件以避免检测。 他们可能需要单独的机制来对信息解码或解混淆，这取决于打算使用的方式 实现此目的的方法包括恶意软件的内置功能、脚本、PowerShell 或使用系统上提供的实用程序。 相关的例子是使用 certutil 对隐藏在证书文件中的远程访问工具的可移植性可执行文件进行解码。

另一个例子是使用 Windows copy /b 命令重新组装二进制片段成恶意的 payload。

可以压缩，存档或加密 payload 以避免检测。 这些 payload 可以在初始访问期间使用或稍后用于混淆文件或信息以减轻检测。 有时可能需要用户操作来打开它以在用户执行时进行解混淆或解密。 用户可能还需要输入密码来打开由攻击者提供的受密码保护的压缩/加密文件。 攻击者也可以使用压缩或归档的脚本，比如 Javascript。

缓解

识别可能用于对文件或信息进行反混淆或解码的不必要的系统实用程序或潜在的恶意软件，并在适当情况下使用白名单 工具（如 AppLocker， 或软件限制策略）审核和/或拦截它们

检测

检测解混淆或解码文件或信息的操作可能比较困难，根据实现的方式。 如果功能包含在恶意软件中并使用 Windows API，那么尝试在操作前后检测恶意行为可能比分析加载的库或 API 调用效果更好。 如果使用了脚本，则可能需要收集用于分析的脚本。 监视进程和命令行，以检测与脚本和系统实用程序（如 certutil) 相关的潜在恶意行为。 监视常见归档文件应用程序和扩展（如 Zip 和 RAR 归档工具）的执行文件路径和命令行参数，并与其他可疑行为相关联，以减少对普通用户和管理员行为的误报。