Umieszczanie złośliwego kodu w nieszkodliwych procesach jest szeroko wykorzystywaną funkcjonalnością złośliwego oprogramowania w celu obchodzenia systemów AV/HIPS. Pierwsze techniki tego typu pojawiły się ponad 15 lat temu i „z marszu” zdobyły uznanie wśród osób skupionych wokół tematyki tworzenia malware’u. Przez ostatnie dwa lata pojawiły się dwie nowe techniki, wykorzystujące zapomniane mechanizmy Windows, które pozwalają na uruchomienie kodu tylko z pamięci operacyjnej. Umieszczenie pliku wykonywalnego w systemie plików ofiary nie jest wymagane – jest to tzw. „fileless malware”1. Nietrudno się domyślić, że wszystkie mechanizmy heurystyczne silników antywirusowych nie miały żadnych szans w starciu z nimi. W tym artykule omówię najpopularniejsze oraz najnowsze mechanizmy służące do ukrywania kodu pośród nieszkodliwych procesów wraz z przykładowymi implementacjami.