WinRAR هي أداة أرشفة لويندوز تُستخدم لضغط الملفات واستخراجها بصيغ مثل RAR وZIP. في الاستخدام العادي، تُعد وسيلة مريحة لنقل مجموعات كبيرة من البيانات، والحفاظ على بنية المجلدات، وتقليل حجم الملفات. لكن في الأمن السيبراني، تصبح أدوات الأرشفة مهمة لأن الاستخراج ليس دائمًا عملية سلبية - إذ يمكن للأرشيفات المصممة بعناية أن تؤثر في المكان الذي تُكتب فيه الملفات، والأسماء التي تحصل عليها، وما إذا كان المحتوى المخفي سيُكشف أثناء فك الضغط.
يُسيء المهاجمون استخدام WinRAR عبر إرسال أرشيفات مسلحة تبدو روتينية لكنها تحتوي على برامج تحميل، أو نصوص برمجية، أو ملفات اختصار مصممة للتنفيذ بعد الاستخراج. وقد يستخدمون اجتياز المسار، أو أسماء ملفات مضللة، أو تدفقات البيانات البديلة لـ NTFS لإخفاء الحمولة وبيانات المرحلة الأولية. يبحث المدافعون عن نشاط غير معتاد لفك ضغط الأرشيفات، وظهور ملفات في مواقع بدء التشغيل، والاستخدام المشبوه لميزات الأرشفة التي لا ينبغي أن تكون موجودة في سير العمل التجاري العادي. إن التعامل مع الملفات المضغوطة على أنها محتوى غير موثوق يساعد في تقليل سطح الهجوم هذا.



