Com base na utilização de técnicas de debugging do código malicioso em memória, uma engenharia reversa atenciosa pode identificar entry points alternativos no arquivo executável e, com isso, realizar a respectiva análise de forma clara e direta, antes do programa malicioso iniciar a respectiva execução.

Como técnica de ofuscação, o desenvolvedor do programa malicioso pode inserir uma função de callback na Thread Local Storage (TLS) e executar uma decriptação ou, até mesmo, a identificação de debuggers antes da parada no entry point original identificado no cabeçalho PE do executável malicioso.

Mesmo utilizando otimizações de compilador, o código malicioso não consegue inserir chamadas, como JUMP ou CALL, que funcionem na área de dados do executável PE.

Valores inválidos no cabeçalho PE dificultam a execução dos executáveis maliciosos em ferramentas de debugging. Porém, utilizando técnicas de análise estática, será possível encontrar a informação necessária para identificar o comportamento nocivo do executável malicioso.

Arquivos DLL podem esconder código malicioso a ser utilizado por um executável perigoso. Apesar disso, DLLs só podem ser acessadas a partir do entry point original do cabeçalho PE do arquivo executável, o que facilita a análise do arquivo que utiliza essa técnica de ofuscação.