內存馬無邏輯結構邊界，內存馬缺乏穩定的靜態特征，內存馬種類多。1、內存馬無邏輯結構邊界，難以被發現。內存馬僅存在于進程的內存空間中，通常與正常的/合法的代碼、數據混淆。內存馬與傳統惡意代碼的不同之處在于它沒有磁盤文件，會導致傳統的檢測防護手段失效。2、內存馬缺乏穩定的靜態特征，難以被識別。內存馬缺乏結構化的靜態形式，它依附在進程運行期間的輸入數據進入進程，數據被加密混淆，因此，無法通過特征識別內存馬。3、內存馬種類多，檢測機制復雜而多樣。內存馬有二進制代碼片段（Shellcode）、PowerShelll腳本、Web中間件等類型，每種類型又可細分，不同類型內存馬的執行方式、惡意代碼/行為觸發機制各不相同。內存馬是無文件馬，利用中間件的進程執行某些惡意代碼，不會有文件落地，對于嚴防死守的防線是一個新的突破。