جعل هویت

مهاجمان امضاهای کد نامعتبر یا جعلی را به فایل‌های اجرایی اضافه می‌کنند تا قانونی به نظر برسند. برخی ابزارهای امنیتی تنها وجود امضا را بررسی می‌کنند نه اعتبار آن را.

مهاجمان ابزارهای سیستمی را کپی و تغییر نام می‌دهند تا از شناسایی مبتنی بر نام فرار کنند. مثلاً cmd.exe را به svchost.exe تغییر نام می‌دهند تا در لیست فرآیندها مشکوک به نظر نرسد.

مهاجمان فایل‌های مخرب را با نام‌ها یا در مکان‌هایی که مشابه فایل‌های قانونی هستند قرار می‌دهند. مثلاً فایل مخرب را در C:\Windows\System32\ با نام مشابه یک فایل سیستمی قرار می‌دهند.

مهاجمان از پسوندهای فایل دوگانه مانند invoice.pdf.exe استفاده می‌کنند تا کاربران را فریب دهند. ویندوز به صورت پیش‌فرض پسوند فایل را پنهان می‌کند، بنابراین کاربر فقط invoice.pdf را می‌بیند.