Unicode反转字符文件名植入攻击实验
一、 实验目的
理解如何通过向对方发送伪造的 Microsoft Office Word 文档来植入木马程序的技术手段。
掌握利用 Unicode 反转字符特性来捆绑可执行木马构建恶意文档的方法。
了解使用 System Safety Monitor(SSM)分析恶意文档的攻击流程。
二、 实验原理
- Unicode反转字符串概述
利用工具生成的“反转字符串”类型的后门程序,所利用的工具可以自动生成任意伪装后缀名的文件,例如:.txt、.jpg 、.mp3、常见类型文件。 “反转字符串”技术虽然在很久之前就被恶意代码作者利用过,但此技术的伪装性极高,一不小心点击了就有可能沦为肉鸡。 - Unicode反转字符文件名植入攻击原理
通过查看文件类型,可以发现该文件的实际文件格式是应用程序或者可执行的屏幕保护程序,正常的图片显示为“JPEG图像”,而恶意程序则显示它真正的格式,例如EXE文件显示应用程序,SCR程序显示屏幕保护程序,如果细心的用户可以通过扩展名“.”前面的字符进行识别,因为这种反转一定在“.”前面有它真正的扩展名例如“exe”反转后依然为exe,而“src”反转后为rsc。 而真实的图片却没有发现可疑字符。 - Unicode反转字符文件名植入攻击防范。
1、在文件夹中显示文件的“详细信息”,Win7系统在文件中按下“ALT”键,显示菜单栏,然后点击“查看”菜单的详细信息选项即可;2、隐藏文件扩展名;3、通过CMD命令显示文件名。
三、实验环境 - 操作系统
操作机:Win