RLO文件名欺骗

最新推荐文章于 2024-06-22 22:02:03 发布
最新推荐文章于 2024-06-22 22:02:03 发布
阅读量6.1k 收藏 16
点赞数 1
分类专栏: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mgxcool/article/details/50637346
版权

前阵子看一篇apt报告,里面提到了RLO文件名欺骗技术,第一次听说这个词汇,所以在网上搜了一下。

大致原理就是,在windows下面,支持一种特殊的unicode字符RLO,一个字符串中如果有这个字符的话,那么在windows下显示时,就会把RLO右侧的字符串逆序显示出来。

例:

原始字符串:abcd[RLO]efgh

在windows下显示为:abcdhgfe

攻击者可以利用这个特性,把exe文件伪装成一个文本或图片文件,用户在双击时恶意文件便得到执行。


实际操作如下:

1. 当前有一个安装包可执行文件,文件名test.exe


2. 修改文件名为testgnp.exe


3. 编辑文件名,在test和gnp的中间,右键插入unicode字符,选择RLO


4.  之后我们再次查看文件名,发现后缀名变为了png,但是双击文件的时候却又是以可执行文件方式运行。


如果再把文件的图标改变一下,用来欺骗受害者还是挺难识别的。

mgxcool
关注
专栏目录
【C++】利用Unicode控制字符-RLO构造欺骗文件后缀
lanlanla的成长历程
09-04 2210
普通的利用过程: 1.准备已经生成好的exe程序。 2.重命名该文件,右键,选择“插入unicode控制字符”→“RLO” 3.将正序的文件名“gnp.scr”复制,直接粘贴进去,然后保存 得到如下“rcs.png” 一般利用过程 首先我们把文件名改为1agnp.exe, 然后重命名选中1a和gnp.exe,之间.右键“插入unicode控制字符”→“RLO” 保存文件名,此时文件名显示为1aexe.png 在代码中如何利用 首先定义了一个name数组: BYTE...
Unicode反转字符文件名植入攻击实验
yellow_fish_flag的博客
10-30 2268
Unicode反转字符文件名植入攻击实验 一、 实验目的  理解如何通过向对方发送伪造的 Microsoft Office Word 文档来植入木马程序的技术手段。  掌握利用 Unicode 反转字符特性来捆绑可执行木马构建恶意文档的方法。  了解使用 System Safety Monitor(SSM)分析恶意文档的攻击流程。 二、 实验原理 Unicode反转字符串概述 利用工具生成的“反转字符串”类型的后门程序,所利用的工具可以自动生成任意伪装后缀名的文件,例如:.txt、.jpg 、.mp
文件名利用RLO技术欺骗(学习)
weixin_34257076的博客
08-24 739
效果如下: 如果再修改下图标,变成文本或图片的图标,会更具有迷惑性。 双击后可以运行,我们可以看到进程中也是这样显示 具体操作方案: (选择文件重命名) (2) (3)输入gnp后 (4)再次修改前边名字 gpedit.msc,可以自定义安全规则的这种系统,在开始菜单输入搜索gpedit.msc,打开“电脑设定”→“Windows设定”→“安全性设定”→“软体限制...
钓鱼隐藏--文件后缀&压缩文件&捆绑文件
最新发布
金灰的博客
06-22 645
免责声明:本文仅做技术交流与学习...
文件名伪装_RLO(红队钓鱼)
qq_44657899的博客
01-25 1802
Rlo,即Right-to-LeftOverride 在文件名中插入此类unicode字符,来达到文件名反转的效果 将exe文件命名为mdgnp.exe,然后重命名选中md和gnp,之间插入Unicode控制字符RLO 保存文件名,然后更换图标即可
新型***利用文件名欺骗伪装
weixin_34174322的博客
10-31 269
转载自“赛迪网” 日前一种新型***被截获,***程序本身并不复杂,但病毒作者采用的欺骗手法却十分高明。   该病毒在文件名中插入RLO控制符(注:RLO控制符是Unicode控制符的一种,用来显示中东文字,从右到左书写),使得字符显示从右至左的顺序,让病毒程序的真实后辍名(.exe/.scr/.com等)被隐藏,伪装后的病毒看起来是...
DFA-Game-RLO
03-22
DFA游戏RLO 要编辑此项目,请确保已安装 。 首先,请克隆或下载此存储库。 在下载的文件夹中,您可以双击DFA-Game-RLO.yyp文件在GameMaker中打开该项目。 您还可以通过运行DFA-Game-RLO-Demo.exe文件来播放演示版本...
Step7语句表监控时RLO,STA,STANDARD的含义
09-18
在探讨Step7语句表监控时RLO, STA, STANDARD的含义之前,我们先了解Step7的基本概念。Step7是西门子公司开发的一款用于编程PLC(可编程逻辑控制器)的软件工具,广泛应用于工业自动化领域。在Step7中,程序员可以...
「西门子S7-300PLC的RLO置位、清零、保存指令及示例」.docx
11-19
西门子S7-300PLC的RLO置位、清零、保存指令及示例 西门子S7-300PLC是一种工业控制器,它广泛应用于自动化控制领域。其中,RLO(Relay Output)是西门子PLC中的一个重要概念,它用于控制输出信号的状态。本文将详细...
红蓝对抗之邮件钓鱼攻击
Tencent_SRC的博客
09-04 4435
文|腾讯蓝军 jumbo红蓝对抗越加普遍及重要,甚至成为了大型赛事,随之⽽来的是防守方大量部署安全设备,如FW、WAF、IDS、IPS等,想要从Web端深⼊到对⽅内⽹已经困难重重。但是,...
钓鱼篇-利用RLO隐藏exe&文件捆绑&office免杀-远程模板加载上线CS
weixin_45701675的博客
11-26 1874
钓鱼篇-利用RLO隐藏exe&文件捆绑&office免杀-远程模板加载上线CS
又是一套渗透神器!
baimaozi008的博客
05-20 435
火眼安全系统:一个面向渗透测试人员和安全研究人员工具库,里面包含超过140个开源Windows渗透工具包,适用于红队渗透测试员和蓝队防御人员均拥有了顶级侦察与漏洞利用程序集合,并且是是Windows环境中内部渗透测试的首选平台。一款基于红队安全武器库,里面包含几百款安全漏洞扫描工具,不仅可以完成Web应用程序安全测试解决方案,既可以独立使用,也可以作为复杂环境的一部分使用。里面包含几百款安全漏洞扫描工具,不仅可以完成Web应用程序安全测试解决方案,既可以独立使用,也可以作为复杂环境的一部分使用。
钓鱼&文件名反转&office远程模板
qq_50854662的博客
05-29 1645
本文内容涉及程序/技术原理可能带有攻击性,仅用于安全研究和教学使用,务必在模拟环境下进行实验,请勿将其用于其他用途。因此造成的后果自行承担,如有违反国家法律则自行承担全部法律责任,与作者及分享者无关 0x01 件名反转 在渗透过程中,有时需要通过钓鱼来来传播一些木马文件,而这些木马文件需要精心的伪装。RLO即 Start Of Right-to-Left override。我们可以通过选择插入Unicode控制字符RLO来达到反转文件名的效果 以CobaltStrike生成的木马BypassA.
木马逆名欺骗:利用unicode控制符RLO
FUN
02-10 6606
逆名欺骗木马在文件名中插入控RLO制符,来使文件名逆序显示,达到欺骗的目的。 首先Windows系统在解析文件名时,当遇到unicode控制符时,会改变文件名的显示方式。利用这一特性,可以将exe,scr,com等可执行文件伪装成doc,jpg,txt,ppt等。 例如我创建一个bat文件,命名为txt.bat。然后点击重命名,在文件名输入框中首先右键点击“插入unicode控制字符”
字符中包含不显示的控制字符
Sallystar的专栏
10-11 2204
碰到一个unicode字符集的问题,记录一下 拷贝了一个手机号直接粘贴到平台 保存,结果发送短信时该手机号接收不到,网上查了才知道原来拷贝到手机号包含了不显示unicode字符 \u202d 一般用到Unicode 控制字符有: 1、RLO ( Code "\u202E" ; HTML ‮ ) :开始从右到左的文字; 2、LRO ( Code "\u202D" ; HT...
记录一次特殊字符u202D,u202C的坑
u011649691的博客
10-23 5630
接到投诉有用户上传的excel后提示其中的手机号长度不正确的,反复查看上传的文件和提取后的参数,手机号长度都是11位,反复数绝对不可能错。但是将日志中的手机号复制到idea中的时候,首尾出现了/u202D150xxxx4036/u202C(将/换为\,否则显示不出来)。就是这些不可见的特殊字符导致了本次事件。经查: 1、RLO ( Code “\u202E” ; HTML ‮ ) :开始从右到左的文字; 2、LRO ( Code “\u202D” ; HTML ‭ ) :开始从左到右的文字; 3、PDF (
unicode控制字符
热门推荐
晨光飞舞的专栏
01-07 1万+
Unicode控制字符就是特殊的Unicode字符 控制字符在百度贴吧的转义代码对照表 Unicode-控制字符 ‎LRM‎ ‏RLM ‍ZWJ‍ ‌ZWNJ‌ ‪LRE‪ ‭LRO‭ ‮RLO ‬PDF‬ NADS NODS 
html预览 webshell,RTLO技术与HTML文件是否可以变为WEBSHELL
weixin_28791139的博客
06-28 504
一、浅谈RTLO技术我在FreeBuf上到了 [APT攻击]趋势科技捕获一次APT攻击活动 这篇文章,然后就自己去探探究竟,文章地址在下面RLO控制符是Unicode控制符的一种,使得字符显示从右至左的顺序,攻击者可以利用RTLO技术来达到欺骗目标,从而使得可执行文件运行。首先Windows系统在解析文件名时,当遇到unicode控制符时,会改变文件名的显示方式,利用这一特性,可以将exe、sc...
plc程序中的rlo和sta
08-17
在PLC(可编程逻辑控制器)程序中,RLO和STA是两种常见的指令。 RLO是“Reset Load Output”的缩写,意为“复位加载输出”。它是一种输出指令,用于将PLC的输出点复位为初始状态。当RLO指令被执行时,输出点的状态会被重置为初始值,例如将输出点从高电平(1)变为低电平(0)。 STA是“Set To A Output”的缩写,意为“设置为A输出”。它也是一种输出指令,用于将PLC的输出点设置为指定的状态。例如,当STA指令执行时,输出点的状态会被设置为特定的数值,可以是高电平(1)或低电平(0),取决于具体的应用需求。 这两种指令在PLC程序中常常用于控制系统的输出。例如,在一个自动化生产线的PLC程序中,当某个条件满足时,可以使用STA指令将一个输出点设置为高电平,从而触发某个动作或操作。而当条件不满足时,可以使用RLO指令将该输出点复位为低电平,停止相应的动作或操作。 总之,RLO和STA是PLC程序中常用的输出指令,用于控制系统中的输出点状态,从而实现特定的控制功能和操作。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值