二.木马捆绑到图片中(文件名反转)
原理
1.和上面一个示例一样,使用winrar自解压功能,只不过这里不是自动启动普通程序+木马,而是打开图片+木马
2.可执行程序后缀除了exe,还有msi、sys、scr。
3.文件名可以用中东unicode字符8238或0x202E,这种编码方式就是倒序显示的,把后缀翻转到前面去,让它看起来就是个图片后缀(实际是个PE可执行程序)。
特点:简单、方便制作免杀、由于文件名的反转实际依赖unicode编码,想要扩散给别人依然保留反转的文件名,就需要传输工具和接收方都支持这种unicode编码,因此适用范围很小,比如web传输时会被url编码导致无法保留编码方式。目前测试xftp下载和QQ传输还可以保留反转的文件名。
制作
准备:免杀的木马程序、一张png图片、一张ico图标(要和png看起来一样)
1.添加到winrar压缩文件:
(将png和木马添加到压缩,勾选自动解压功能)
2.设置自动解压文件存放的路径:
(可以放到tmp目录中,%temp%指得是windows的temp目录)
3.设置自动运行的程序:
(自动运行木马和png图片)
4.隐藏解压进度
5.设置logo
6.设置解压缩时如果文件已经存在则自动跳过(否则会提示是否覆盖文件)
7.用python修改文件名
import os
os.rename('img.exe',u'\u202Egnp.scr') #将img.exe重命名为了rcs.png
测试效果