Flame 包含三大模块：“SNACK”、“MUNCH”和“GADGET”，其行为通过恶意程序的全局注册控制，它的数据库中有数以千计的可配置选项。SNACK 可嗅探网络中的数据包，而 MUNCH 是 Flame 的 HTTP 服务器，它们能设置一个假的服务器，伪装成 Windows updates 的合法源。为了让代理能工作，它需要微软 Root 权限密钥的批准，这就是为什么它需要一个伪造的证书。攻击者利用 Terminal Server 的弱点创造了假证书，让恶意代码能被验证为合法代码。但光有证书还没用，因为微软在 Vista 之后版本中在证书信息中加入了 Hydra 扩展，如果证书验证通过，它会将其标记为“critical”，否则会被拒绝接受。因此攻击者需要利用碰撞攻击移除 Hydra 数据。此后，Flame 就能工作在所有 Windows 机器上。卡巴斯基研究人员将之称为开启了“上帝模式”作弊码。