RunPortableExecutable olarak da bilinen RunPE tekniği, meşru bir Windows ikili dosyasının işlevselliğini kötü amaçlı kodla değiştirmek için kullanılan Windows tabanlı bir tekniktir. Kötü niyetli aktörler tarafından tespit edilmekten kaçınmak ve kötü niyetli faaliyetlerini radar altında tutmak için yaygın olarak kullanılmaktadır.
RunPE tekniği, kötü amaçlı programı belleğe yükleyerek ve ardından orijinal programı değiştirmek için PEB'i (Windows tarafından kullanılan bir bellek veri yapısı) kullanarak çalışır. Genellikle orijinal program içeriğini değiştirmek için kötü amaçlı kod enjekte etmek ve aynı zamanda kötü amaçlı kodda yer alan yükü yürütmek için kullanılır. Tespitten daha fazla kaçınmak için, kötü amaçlı kod genellikle yürütülebilir veya dinamik bir kitaplık gibi meşru bir Windows ikili dosyası olarak gizlenir.
RunPE tekniğinin hız ve gizlilik kombinasyonu, onu kötü niyetli aktörler tarafından kullanılan yaygın bir teknik haline getiriyor. Zeus ve fidye yazılımı gibi birçok kötü amaçlı kampanyada kullanıldı. Ayrıca kötü amaçlı yürütülebilir paketlerin, kötü amaçlı e-postaların ve diğer kötü amaçlı nesnelerin yayılması için de kullanılır. Ayrıca, keylogger'lar, indiriciler ve bilgi çalanlar gibi diğer birçok kötü amaçlı yazılım biçiminde de kullanılır.
Etkinliği ve kullanışlılığının bir sonucu olarak, RunPE tekniği genellikle geleneksel antivirüs çözümleri için bir güvenlik sorunu olarak görülüyor ve bazı imzaların yanı sıra istismar önlemenin yanı sıra düzeltici önlemlere rağmen, bazı kötü niyetli aktörler tespit edilmeden kalmayı başarıyor.
