Kỹ thuật RunPE, còn được gọi là RunPortableExecutable, là một kỹ thuật dựa trên Windows được sử dụng để thay thế chức năng của tệp nhị phân Windows hợp pháp bằng mã độc. Nó được sử dụng rộng rãi bởi các tác nhân độc hại để trốn tránh sự phát hiện và giữ cho các hoạt động độc hại của chúng nằm trong tầm kiểm soát.
Kỹ thuật RunPE hoạt động bằng cách tải chương trình độc hại vào bộ nhớ và sau đó sử dụng PEB (cấu trúc dữ liệu bộ nhớ được Windows sử dụng) để sửa đổi chương trình gốc. Nó thường được sử dụng để chèn mã độc nhằm thay thế nội dung chương trình gốc cũng như thực thi payload có trong mã độc. Để tránh bị phát hiện hơn nữa, mã độc thường được ngụy trang dưới dạng nhị phân Windows hợp pháp, chẳng hạn như thư viện động hoặc thư viện thực thi.
Sự kết hợp giữa tốc độ và khả năng tàng hình của kỹ thuật RunPE khiến nó trở thành một kỹ thuật phổ biến được các tác nhân độc hại sử dụng. Nó đã được sử dụng trong nhiều chiến dịch độc hại như Zeus và ransomware. Nó cũng được sử dụng để truyền bá các gói thực thi độc hại, email độc hại và các đối tượng độc hại khác. Hơn nữa, nó còn được sử dụng trong nhiều dạng phần mềm độc hại khác như keylogger, trình tải xuống và kẻ đánh cắp thông tin.
Do tính hiệu quả và tiện ích của nó, kỹ thuật RunPE thường được coi là một thách thức bảo mật đối với các giải pháp chống vi-rút thông thường và thậm chí mặc dù có một số biện pháp khắc phục cũng như ngăn chặn khai thác, một số tác nhân độc hại vẫn có thể không bị phát hiện.
