惡意程式泛指有害的程序，而payload則是主要引發惡意行為的核心程式碼部份。
比方說，先前流行的哭哭綁票勒索信，一開始會先在端點設備的臨時儲存區存放一個執行連接c&c、下載加密程序的可執行檔，接著再開始後續的加密綁票行為，綁完票還會擦擦足跡，盡可能的不讓人知道他玩哪招……

如果發現的夠早，在惡意程序未開始執行加密行為時，在端點設備的臨時儲存區也許可以找到payload和相關的執行程序。
若KPI的計算方式是指工程師處理了幾個被成功勒索的設備，那麼在壞事發生前的攔截作業，大概只能算是做功德的吧

如何早期發現呢?
無法口說，因為那是長期看了大量的網路資料所累積下來的經驗，著些作業都需要受到主管機關充份的授權給資安人員，若沒有充份授權的情況下無法看到全面的資料，在判讀資訊上就會產生偏差、誤判，甚至影響後續的處理作業。
每間公司的狀況和環境不同，無法一概而論一定是怎樣的，在不了解的情況下就論定一定是怎樣怎樣的，著樣的表達方式不科學，也無法讓有資安背景的大大們信服。

曾經有一位資深工程師說，蒐集惡意程序與Payload是不需要本機管理權限的。
但，實際上在查看系統資料夾的時侯，沒有本機管理權限是無法開啟系統相關的資料夾的。
要做到沒有管理者權限的情況下，開啟、查看系統相關的資料夾，需要搞點提權或繞過的手法，對於保存案發現場沒有好處(原始的環境被異動)，個人還是偏好盡可能的保存案發現場來釐清問題真因。

惡意程式的定義如下:

1. 採用多種社會和技術手段，強行或者秘密安裝，並抵制移除；
2. 強行修改使用者軟體設定，如瀏覽器的首頁，軟體自動啟動選項，安全選項；
3. 強行彈出廣告，或者其他干擾使用者、佔用系統資源行為；
4. 有侵害使用者訊息和財產安全的潛在因素或者隱患；
5. 與電腦病毒聯合侵入用戶電腦；
6. 停用防毒軟體或其他電腦管理程式來做進一步的破壞；
7. 未經使用者許可，秘密收集使用者個人訊息、秘密和隱私；
8. 威脅恐嚇或誤導用戶安裝其他的產品。

payload(酬載)的定義如下:

承載資料的封包、訊息或程式碼部分。
在資訊安全性中，酬載通常是指執行破壞性作業的惡意程式碼部分。
描述惡意程式碼執行的除複製以外的其他活動。
這可以是任意類型的行為，如企圖降低網路服務效能或在螢幕上顯示圖形。