imphash는 파일 자체가 가지고 있는 IAT 를 기반으로 생성된 것으로 판단된다. IAT에는 파일이 사용되는 API를 포함하고 있는데 이 API들이 무엇이 있고, 어떻게 호출되는지 흐름에 대해서 1차적으로 판단되는 기준 값으로 사용될 수 있는 듯하다. 따라서 imphash의 값에 따라 Packer의 종류도 대략적으로 구별할 수 있지 않을까 생각된다. 그렇다면 이 값을 이용해 악성 코드 분류하는 작업에 사용할 수 있을까? imphah만으로는 부족하지 않을까 생각된다. 그렇다면 어떤 값이 더해져야할까?