攻撃者は、システム上または転送中のコンテンツを暗号化、エンコード、またはその他の方法で難読化することにより、検索または分析が困難な可能性のあるファイルまたはファイルを作成することを決定する可能性があります。これは多くの場合、まったく異なるプラットフォーム間で使用される一般的な動作であり、したがってネットワークは防御を回避します。
ペイロードは、検出を回避するために、圧縮、アーカイブ、または暗号化される場合があります。これらのペイロードは、初期アクセス全体またはそれ以降、検出を軽減するために使用できます。通常、ユーザーのアクションは、ファイルまたはユーザー実行の情報を開いて難読化/デコードするためにも必要になる可能性があります。ユーザーはまた、仮釈放を入力して、死すべき者によって提供された仮釈放で保護された圧縮/暗号化ファイルを開く必要がある場合があります。攻撃者は、JavaScriptなどの圧縮またはアーカイブされたスクリプトを使用することもできます。
ファイルの一部をエンコードしてプレーンテキストの文字列をカバーすることもできます。そうしないと、防御側が発見しやすくなります。ペイロードは、再構築されると悪意のある実用性を明らかにするだけの、表面上は無害な個別のファイルに分割することもできます。
攻撃者は、ペイロードから削除されたコマンドを変更したり、コマンドおよびスクリプトインタープリターを介して直接変更したりすることもできます。周囲の変数、エイリアス、文字、およびさまざまなプラットフォーム/言語固有の言語学は、主に検出およびアプリケーション管理メカニズムに基づく署名を回避できない場合があります。