willJ 发表于 2013-8-20 20:45

反转字符串隐藏自己

本帖最后由 willJ 于 2013-8-20 20:47 编辑

社会工程学的技巧是千变万化的,比如恶意病毒的文件路径名顺序被病毒作者使用于尝试攻击你的机器。其中一种方法为将这些文件或者链接设置为诱人的,很多用户可能去点击这个从未知未知传送过来的链接或者文件…
在不知道以下手法的情况下,通过对文件名进行比如”Right to Left Override(U+202E)”这种方式反转的方法并不是现在才出现的,但是我们可以经常看见这样构造的恶意文件,如果用户接收到这样的文件,名字比较诱惑,可能就会去点击了,然后沦为肉鸡。
很多用户都知道未知的可执行程序是危险的,不会去点击,所以病毒作者尝试使用”RLO”方式去处理文件名。比如,<文件名>gpj.exe转换为<文件名>exe.jpg,比如下图:在cmd下面可以看见它们真实的模样,如下图的样子:
这样的构造可能还不够真实或者诱惑,真实的环境中,恶意作者可能会构造更加奇特的出来,比如.jpg会将图标构造成图片的样子让一般人很难分辨:下面列出一些比较诱惑的构造方式:Sexe.jpgAelexe.jpg2012_12_08_Phonenumexe.docMuberexe.excelShowexe.ppt……因此,当我们在接收邮件或者未知渠道传送过来的文件的时候一定要加倍小心,防止被欺骗。
这种伪装方式不光可以用于文件名的伪装,还可以用于注册表的伪装,最近发现一些样本就通过这样的方式伪装自己,下面举例演示下吧。在安装为软件后,在注册表里都可以找到该软件的安装信息,比如安装了Winrar后,注册表如下:通过RLO方式可以构建目录如下:你可能为问怎么出现两个”WinRAR”在注册表里,真的”WinRAR”是上方那个,这种方式也被恶意病毒使用,希望不要被病毒迷惑了双眼{:1_918:}。

1354669803 发表于 2013-8-20 20:58

为什么改个后缀也能运行 这不科学

恋秋 发表于 2013-8-20 21:22

这个好像很早就有了

马斯维尔 发表于 2013-8-20 21:48

1354669803 发表于 2013-8-20 20:58 static/image/common/back.gif
为什么改个后缀也能运行 这不科学

不是改后缀这个这是一种显示方式准确的来说是一种阅读方式

马斯维尔 发表于 2013-8-20 21:50

注册表那个 迷惑性挺大的

Hmily 发表于 2013-8-29 20:32

这种木马多用于钓鱼!确实很隐藏!

122166966 发表于 2013-8-30 14:00

JoyChou 发表于 2013-8-30 17:29

Sexe.jpg很霸气。{:1_921:}跪求苍老师.ico

ayus 发表于 2013-8-30 17:33

好混乱~学习了 谢谢分享

zhangqiangk 发表于 2013-8-30 17:38

学习了            
页: [1] 2 3
查看完整版本: 反转字符串隐藏自己