La ricorsione degli archivi è il processo di scansione all'interno di file compressi e, successivamente, di continuare a esaminare eventuali archivi, cartelle e file annidati trovati al loro interno. Gli strumenti di sicurezza usano la ricorsione per andare oltre l'allegato esterno e ispezionare il contenuto completo di contenitori ZIP, RAR, 7z, ISO o simili. Senza di essa, un file malevolo può nascondersi in profondità sotto più livelli e sfuggire a un'ispezione superficiale.
Questo è importante perché gli aggressori spesso occultano script, file collegamento o payload all'interno di strutture di archivi multilivello per ridurre la probabilità di rilevamento da parte dei filtri della posta, delle sandbox o della revisione manuale. L'ispezione ricorsiva aiuta i difensori a individuare tipi di file sospetti, annidamenti insoliti e catene di avvio staged prima che un utente li apra. In pratica, una buona ricorsione degli archivi deve essere bilanciata con i limiti di prestazioni, poiché file molto profondi o altamente compressi possono essere usati per rallentare gli scanner o innescare decompression bomb. Per questo motivo, i team di sicurezza spesso impostano limiti di profondità, regole sui tipi di file e controlli di timeout, continuando comunque la ricorsione abbastanza da rilevare le minacce nascoste.