Teknik RunPE, juga dikenal sebagai RunPortableExecutable, adalah teknik berbasis Windows yang digunakan untuk menggantikan fungsionalitas biner Windows yang sah dengan kode berbahaya. Ini banyak digunakan oleh aktor jahat untuk menghindari deteksi dan menjaga aktivitas jahat mereka tetap tersembunyi.
Teknik RunPE bekerja dengan memuat program jahat ke dalam memori dan kemudian menggunakan PEB (struktur data memori yang digunakan oleh Windows) untuk memodifikasi program aslinya. Biasanya digunakan untuk menyuntikkan kode berbahaya untuk menggantikan konten program asli serta mengeksekusi muatan yang termasuk dalam kode berbahaya. Untuk menghindari deteksi lebih lanjut, kode berbahaya biasanya disamarkan sebagai biner Windows yang sah, seperti perpustakaan yang dapat dieksekusi atau dinamis.
Kombinasi kecepatan dan sembunyi-sembunyi dari teknik RunPE menjadikannya teknik umum yang digunakan oleh aktor jahat. Ini telah digunakan dalam banyak kampanye jahat seperti Zeus dan ransomware. Ini juga digunakan untuk menyebarkan bundel berbahaya yang dapat dieksekusi, email berbahaya, dan objek berbahaya lainnya. Selain itu, ini juga digunakan dalam berbagai bentuk perangkat lunak berbahaya lainnya seperti keylogger, pengunduh, dan pencuri informasi.
Karena efektivitas dan kegunaannya, teknik RunPE sering dipandang sebagai tantangan keamanan bagi solusi antivirus konvensional dan meskipun ada tindakan perbaikan pada beberapa tanda tangan, serta pencegahan eksploitasi, beberapa pelaku jahat tetap tidak terdeteksi.
