L'offuscamento è l'uso di trasformazioni del codice che rendono un programma più difficile da leggere, analizzare o sottoporre a reverse engineering. Nel malware, può nascondere stringhe, rinominare funzioni, suddividere la logica su più livelli, cifrare i payload o ritardare l'esecuzione, in modo che il vero comportamento non sia evidente da un'analisi rapida.
Questo è importante perché spesso i difensori iniziano con l'analisi statica: esaminano il contenuto dei file, gli import e le stringhe leggibili per decidere se qualcosa sia dannoso. L'offuscamento rallenta questo processo e può ridurre il valore delle signature. Gli aggressori lo usano per occultare loader, dati di configurazione e dettagli di command-and-control. I difensori rispondono con de-offuscamento, unpacking, sandboxing, analisi della memoria e rilevamento basato sul comportamento, concentrandosi su ciò che il codice fa dopo l'esecuzione anziché su quanto sia leggibile.