吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 11758|回复: 20
收起左侧

[分享] 反转字符串隐藏自己

  [复制链接]
willJ 发表于 2013-8-20 20:45
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 willJ 于 2013-8-20 20:47 编辑

社会工程学的技巧是千变万化的,比如恶意病毒的文件路径名顺序被病毒作者使用于尝试攻击你的机器。其中一种方法为将这些文件或者链接设置为诱人的,很多用户可能去点击这个从未知未知传送过来的链接或者文件

在不知道以下手法的情况下,通过对文件名进行比如”Right to Left Override(U+202E)”这种方式反转的方法并不是现在才出现的,但是我们可以经常看见这样构造的恶意文件,如果用户接收到这样的文件,名字比较诱惑,可能就会去点击了,然后沦为肉鸡。

很多用户都知道未知的可执行程序是危险的,不会去点击,所以病毒作者尝试使用”RLO”方式去处理文件名。比如,<文件名>gpj.exe转换为<文件名>exe.jpg,比如下图:
1.jpg
cmd下面可以看见它们真实的模样,如下图的样子:
Unnamed.jpg

这样的构造可能还不够真实或者诱惑,真实的环境中,恶意作者可能会构造更加奇特的出来,比如.jpg会将图标构造成图片的样子让一般人很难分辨:
3.jpg
下面列出一些比较诱惑的构造方式:
Sexe.jpg
Aelexe.jpg
2012_12_08_Phonenumexe.doc
Muberexe.excel
Showexe.ppt
……
因此,当我们在接收邮件或者未知渠道传送过来的文件的时候一定要加倍小心,防止被欺骗。

这种伪装方式不光可以用于文件名的伪装,还可以用于注册表的伪装,最近发现一些样本就通过这样的方式伪装自己,下面举例演示下吧。
在安装为软件后,在注册表里都可以找到该软件的安装信息,比如安装了Winrar后,注册表如下:
4.jpg
通过RLO方式可以构建目录如下:
5.jpg
你可能为问怎么出现两个”WinRAR”在注册表里,真的”WinRAR”是上方那个,这种方式也被恶意病毒使用,希望不要被病毒迷惑了双眼

2.jpg

免费评分

参与人数 1威望 +1 收起 理由
Hmily + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩.

查看全部评分

本帖被以下淘专辑推荐:

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

1354669803 发表于 2013-8-20 20:58
为什么改个后缀也能运行 这不科学
恋秋 发表于 2013-8-20 21:22
马斯维尔 发表于 2013-8-20 21:48
1354669803 发表于 2013-8-20 20:58
为什么改个后缀也能运行 这不科学

不是改后缀  这个这是一种显示方式  准确的来说  是一种阅读方式
马斯维尔 发表于 2013-8-20 21:50
注册表那个 迷惑性挺大的
Hmily 发表于 2013-8-29 20:32
这种木马多用于钓鱼!确实很隐藏!
头像被屏蔽
122166966 发表于 2013-8-30 14:00
提示: 作者被禁止或删除 内容自动屏蔽
JoyChou 发表于 2013-8-30 17:29
Sexe.jpg很霸气。  跪求  苍老师.ico
ayus 发表于 2013-8-30 17:33
好混乱~学习了 谢谢分享
zhangqiangk 发表于 2013-8-30 17:38
学习了            
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 14:35

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表