Avant infection, l’analyse du programme cible permet un positionnement du point d’entrée du code viral en un lieu variable au sein du fichier. Le point d’entrée du programme et les instructions qui s’y situent sont inchangés. Lorsque cette technique est associée à une infection par cavité et à un codage polymorphique, la détection devient très problématique. Cette technique est maintenant régulièrement rencontrée dans les environnements Windows. Elle est très pénalisante pour les anti-virus qui doivent parfois élargir fortement leur zone de recherche.