“unicode RLO”

Skye 71 0

偶然情况下,某坏人给我发了一个奇奇怪怪的压缩包,解压以后发现里面有一个 你好tab.png 我一看后缀为png,不是图片类型嘛,准备打开我突然反应过来,这货不是什么好东西,我用notepad++打开后发现里面有dos命令

“unicode RLO”“unicode RLO”

我当时就在想,后缀为png,类型是bat,这好家伙让我自己去找,在热心群友的帮助下,找了解到了unicode RLO,

 

转换成exe文件,图标弄成JPG的,然后重命名,输入名字的时候右键点击选择“插入Unicode控制字符”然后选择“RLO”,最后输入名字“GPJ.exe“,此时名字会倒过来显示为“exe.jpg”

逆名欺骗木马在文件名中插入控RLO制符,来使文件名逆序显示,达到欺骗的目的。

首先Windows系统在解析文件名时,当遇到unicode控制符时,会改变文件名的显示方式。利用这一特性,可以将exe,scr,com等可执行文件伪装成doc,jpg,txt,ppt等。

例如我创建一个bat文件,命名为txt.bat。然后点击重命名,在文件名输入框中首先右键点击“插入unicode控制字符”,插入一个RLO(从右到左显示),然后输入txt.bat,回车,此时文件名已经显示为tab.txt。将这个文件发给其他用户,由于文件后缀为txt,一般用户会当做文本文件放心的打开,此时bat文件已经执行。

这个方法非常简单,但思路却相当巧妙,效果也相当实用。

如果不做免杀的话,一般的dos命令都会被杀软干掉,做了免杀,然后再利用unicode RLO,手快的家伙就得遭殃了。

发表评论 取消回复
表情 图片 链接 代码

分享