研究人员公布黑客引用微信（WeChat）的代码片段，并指出这些被塞入恶意程序用来影响资安研究人员调查的代码，实际上并不会运行。

他们也提及对这个恶意程序加载工具引起特别关注的原因，那就是对方运用许多回避侦测的手法并进行混淆处理，而使得相关攻击行动极少被识别出来。

研究人员指出，攻击者在部分函数功能使用了无意义及灰色地带指令，例如：pause、mfence、lfence，很有可能是用来破坏杀毒软件模拟触发的工作。

其中，也有部分功能函数含有call或jmp指令，指向另一个功能函数，使得研究人员的反编译工具产生解析错误的情况。

而在通过算法混淆代码的手法上，对方也加入了无意义的诱饵脚本来欺骗研究人员，并通过堆栈的方式，使用多个字节的XOR密钥来加密特定字符串。

此外，这些黑客也针对Shell Code相关的功能函数，进行控制流程图形（Control Flow Graph，CFG）的混淆处理，导致CFG被扁平化为带有大量switch字符串的无限循环。

为了避免研究人员使用调试工具进行调查，这些黑客也通过处理进程、文件名称过滤，并使用自行开发的API进行系统调用。