作为信息安全的一名学子,网络钓鱼手法是必须学的,那么这篇笔记便是关于网络钓鱼的。
RLO木马逆命欺骗
RLO概念:RLO(Right-Left-Override),是windows的一种古老机制,是为了满足阿拉伯语用户从右往左的读写习惯而引入的一个特殊字符(是Unicode控制符的一种)。通过在段落头部插入RLO字符,从而实现文本内容的左右颠倒,从而让病毒程序的真实后辍名(.exe/.scr/.com等)被隐藏,伪装后的病毒看起来是.jpg、.txt、.rmvb的文件。
例如我创建一个bat文件,命名为txt.bat。然后点击重命名,在文件名输入框中首先右键点击“插入unicode控制字符”,插入一个RLO(从右到左显示),然后输入txt.bat,回车,此时文件名已经显示为tab.txt。将这个文件发给其他用户,由于文件后缀为txt,一般用户会当做文本文件放心的打开,但此时bat文件已经执行。
复现
1.编写无害程序
2.更换木马图标
3.修改程序后缀
4.ZIP自定义压缩钓鱼
1.编写程序并打包
2.更换打包程序图标
我直接用python打包程序时的参数–icon指定图标位置进行修改,也可以用工具修改,如Resource Hacker
图标下载网站:免费图标SVG,PNG,ICO或ICNS (也可以自己做)
3.修改木马的名称和后缀
先改名称,然后进行RLO插入,对文件重命名,在.exe
的前面进行右键,选择插入Unicode 控制字符串(I)
。(注意:要先重命名,将光标放在.exe 的前面,再右键)。然后进行倒叙输入xcod
,后缀就变成了docx
,再测试一下运行效果,是真不错。这样一个基础的word 文档钓鱼就做好了。
4.ZIP 自定义压缩钓鱼
虽然上述的基础伪装做好了,但是它双击之后并没有出现word文件,还是会让人起疑心。这里我们需要一篇真正的word 文档,如原神免费获取可莉教程exe.dock
,内容可以写的接近真实一点,不让人怀疑。
于是先创建一篇真正的文档:
同时选中两个文件,创建自解压格式的压缩文件
这里的路径是任意路径
// 任何人可以写入的文件路径
C:\Windows\Temp
// 具有权限维持效果的
"C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup"
这里的路径就不多说了,演示效果,我这里用C:\Windows\Temp。如果想用维持效果记得加双引号
且我这里是解压的原来没有修改后缀的exe文件,因为进行第四步后并不需要对该exe进行包装而可以直接调用即可。这里要把路径和文件名对应起来,如果中间有空格需要用双引号引起来
接下来一路确定即可,然后会生成一个test.exe文件,再重复
2,3步即可。这样伪装的程序既能运行word,也能运行木马。