文件钓鱼-后缀隐藏文件捆绑文件压缩释放技巧

0x00 文件钓鱼

简单说下文件样本钓鱼的目的,为诱导用户安装木马文件,达到控制或者窃取某些信息的目的,抛开邮件的真实性。木马的伪造是一个比较关键的点,下面简要说下三种木马文件伪装的技巧

0x01 水坑攻击与鱼叉攻击的概念

水坑攻击:
顾名思义,在目标需要经过的地方挖出一个水坑,等待目标踩入中招。在网络攻防中,攻击者分析目标用户日常上网行为,分析其在工作中经常会访问到的站点或者提供服务的站点,通过攻破该站点植入恶意的木马或者窃取访问者用户信息等恶意代码。等待目标用户访问“踩坑”。
鱼叉攻击:
目标明确,精准单点攻击,通常拿钓鱼邮件来说,攻击者将用户企业或者个人作为鱼叉的对象,批量发送或单独将恶意的邮件发送到目标用户群体,等待用户中招。(邮件通常会包含窃取用户信息的链接,隐藏的木马附件等)

0x02 三种木马文件的隐藏释放技巧

木马文件后缀隐藏,图标修改技巧
文件和木马压缩释放
利用工具进行文件捆绑释放

1.木马文件后缀隐藏,图标修改技巧
配合前期制作好的木马文件命名为update.exe,首先测试上线

修改文件后缀

修改ico图标,快捷方式可以直接修改,但是普通的文件可以借鉴网上的app快速修改,例如推荐QIconChanger_V1.0_XiTongZhiJia
需要ico源文件,即可一键修改


修改后依旧可以上线

2.文件和木马压缩释放
利用工具:winrar
准备正常的exe文件和木马文件,压缩在一起成为新的exe文件,释放后设置释放后的路径以及运行顺序

参考:https://blog.csdn.net/cj_Allen/article/details/104335642

需要注意的是压缩释放后的exe顺序,将木马放在后面,点击释放运行后即可上线,但是缺陷在于,系统会提权询问释放安装运行等字眼,

这里需要注意的点:
1.正常exe文件的诱惑性
2.释放路径的隐蔽性
3.文件图标的修改
4.木马的免杀


3.利用工具进行文件捆绑释放

需要注意的点:
通过测试发现,普通文件rar进行压缩释放,安全软件不会报毒,但是如果是一些其他个人开发的捆绑压缩工具,安全软件会报毒,所以一般选用白名单的工具(不会报毒的捆绑工具)

这里推荐:MatryoshkaDollTool-master

MatryoshkaDollTool WHAT 一款程序捆绑工具,取MatryoshkaDollTool,也叫俄罗斯套娃工具。开源这个只有基础捆绑功能的版本,给套娃程序添加自启以及加密功能的版本


文件捆绑器(黑名单)

捆绑后运行也是会同时运行两个文件,这里需要注意的是文件的隐蔽性。

关于杀毒过程中的分析要点:
1.木马本身的免杀
2.杀毒软件也可能会监测文件释放过程: 捆绑器的免杀:腾讯管家杀文件捆绑器,不杀winwar压缩包,换新捆绑器,可以免杀通过腾讯管家 所以捆绑免杀的两个关注点:白名单逻辑捆绑器和木马的免杀

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/197754.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

conda虚拟环境中安装的cuda和服务器上安装的cuda的异同

服务器上已安装Nvidia提供的cuda,nvcc -V时会出现已安装的CUDA版本。如下图所示,服务器上已安装好的cuda版本为10.1。 但是当我们在Anaconda虚拟环境下安装pytorch或者paddlepaddle等深度学习框架的GPU版本时,通常会选择较高版本的cuda&…

【数据分享】2023年我国省市县三级的科技型中小企业数量(Excel/Shp格式)

企业是经济活动的参与主体。一个城市的企业数量决定了这个城市的经济发展水平!比如一个城市的金融企业较多,那这个城市的金融产业肯定比较发达;一个城市的制造业企业较多,那这个城市的制造业肯定比较发达。 之前我们给大家分享了…

PHPStorm PHP-CS-Fixer

我用的是brew安装: brew install php-cs-fixer phpstorm配置: setting搜索fixer 指定安装php-cs-fixer的目录: https://github.com/PHP-CS-Fixer/PHP-CS-Fixer/blob/master/doc/installation.rst 图文详解PHPStorm实现自动执行代码格式化-…

Canal+Kafka实现MySQL与Redis数据同步(一)

CanalKafka实现MySQL与Redis数据同步(一) 前言 在很多业务情况下,我们都会在系统中加入redis缓存做查询优化。 如果数据库数据发生更新,这时候就需要在业务代码中写一段同步更新redis的代码。 这种数据同步的代码跟业务代码糅合…

Postman启动问题:Could not open Postman

Postman启动问题:Could not open Postman 状态,在单击Postman之后一直在转圈圈,无法正常启动。 细心的朋友会发现,右下角 会经常出现防火墙关闭等提示信息,表示该程序,在向外链接。 Error Could not open…

毅速丨3D打印透气钢正在被各行业广泛应用

随着制造技术的发展,企业对生产效率和产品品质的进一步提高,3D打印透气钢已逐渐在各行业中广泛应用。传统的透气钢制造方法,如粉末冶金和扩散焊,通常只能加工出透气钢的嵌块,使用时需要进行镶嵌,存在强度不…

IOS object-c大屏图表 PNChart 折线图 曲线图

折线图是排列在工作表的列或行中的数据可以绘制到折线图中。折线图可以显示随时间(根据常用比例设置)而变化的连续数据,因此非常适用于显示在相等时间间隔下数据的趋势。在折线图中,类别数据沿水平轴均匀分布,所有值数…

自动驾驶学习笔记(九)——车辆控制

#Apollo开发者# 学习课程的传送门如下,当您也准备学习自动驾驶时,可以和我一同前往: 《自动驾驶新人之旅》免费课程—> 传送门 《Apollo Beta宣讲和线下沙龙》免费报名—>传送门 文章目录 前言 控制器设计 比例积分微分控制 线性…

Python------列表 集合 字典 推导式(本文以 集合为主)

推导式: 推导式comprehensions(又称解析式),是Python的一种独有特性。推导式是可以从一个数据序列 构建 另一个 新的数据序列(一个有规律的列表或控制一个有规律列表)的结构体。 共有三种推导&#xff…

USB复合设备构建CDC+HID鼠标键盘套装

最近需要做一个小工具,要用到USB CDCHID设备。又重新研究了一下USB协议和STM32的USB驱动库,也踩了不少坑,因此把代码修改过程记录一下。 开发环境: ST-LINK v2 STM32H743开发板 PC windows 11 cubeMX v6.9.2 cubeIDE v1.13.2 cub…

SpringBoot中日志的使用log4j

SpringBoot中日志的使用log4j 项目中日志系统是必不可少的,目前比较流行的日志框架有 log4j、logback 等,这两个框架的作者是同一个 人,Logback 旨在作为流行的 log4j 项目的后续版本,从而恢复 log4j 离开的位置。 另外 slf4j(…

【React】React 基础

1. 搭建环境 npx create-react-app react-basic-demo2. 基本使用 JSX 中使用 {} 识别 JavaScript 中的表达式,比如变量、函数调用、方法调用等。 if、switch、变量声明等属于语句,不是表达式。 列表渲染使用 map 。 事件绑定用;on 事件名称…

Azure Machine Learning - Azure AI 搜索中的集成数据分块和嵌入

在基于索引器的索引编制中,Azure AI _集成矢量化_将数据分块和文本到矢量嵌入添加到技能中,它还为查询添加文本到矢量的转换。 关注TechLead,分享AI全维度知识。作者拥有10年互联网服务架构、AI产品研发经验、团队管理经验,同济本…

webstorm/idea配置leetcode刷题

File -> settings -> Plugins -> 搜索leetcode 安装插件(截图显示我已经安装过了),安装完成后点击OK操作,在编辑器四个边角就会出现一个leetcode的插件 File -> settings -> Tools-> Leetcode plugin 点击…

[C/C++]数据结构 栈和队列()

一:栈 1.1 栈的概念及结构 栈是一种特殊的线性表,其只允许在固定的一端进行插入和删除元素操作,进行数据插入和删除操作的一端称为栈顶,另一端称为栈底,栈中的数据元素遵守先进后出的原则. 压栈:栈的插入操作叫做进栈/压栈/入栈,将数据插入栈顶 出栈:栈的删除操作也叫出…

正版软件|Soundop 专业音频编辑器,实现无缝的音频制作工作流程

关于Soundop Soundop 音频编辑器 直观而专业的音频编辑软件,用于录制、编辑、混合和掌握音频内容。 Soundop 是一款适用于 Windows 的专业音频编辑器,可在具有高级功能的直观灵活的工作区中录制、编辑和掌握音频并混音轨道。音频文件编辑器支持波形和频谱…

Unity 场景烘培 ——unity Post-Processing后处理1(四)

提示:文章有错误的地方,还望诸位大神不吝指教! 文章目录 前言一、Post-Processing是什么?二、安装使用Post-Processing1.安装Post-Processing2.使用Post-Processing(1).添加Post-process Volume&#xff08…

车载通信架构 —— 新车载总线类型下(以太网)的通信架构

我是穿拖鞋的汉子,魔都中坚持长期主义的汽车电子工程师。 老规矩,分享一段喜欢的文字,避免自己成为高知识低文化的工程师: 屏蔽力是信息过载时代一个人的特殊竞争力,任何消耗你的人和事,多看一眼都是你的不…

java拼图游戏(待优化)

启动类 package com.yx.ui;public class App { //启动入口public static void main(String[] args) {//如果想要开启一个界面,就创建谁的对象 // new DengJFrame(); // new ZCJFrame();new GameJFrame();}}游戏类 package com.yx.ui;import java.awt.event.KeyEv…