钓鱼木马伪装系列汇总

隐藏手段1：文件名翻转+更换图标

Rlo，即Right-to-Left Override,在文件名中插入此类unicode字符，来达到文件名反转的效果。

（例如：将pdf.exe文件反转为exe.pdf，并且将图标进行更换，换为常用PDF图标）

 具体如下：

（1）打开网站：https://unicode-table.com/en/202E/

1. 点击copy之后，将复制到的不可见内容粘贴至pdf.exe文件名最前面
2. 效果如下：
3. 

    在此基础上进行更换图标。

1. 打开ResourceHacker.exe

实现效果：

点击.pdf文件，弹出计算器（这里计算器，即calc.exe指代为木马病毒文件）。 

隐藏手段2：Winrar-自解压----将木马程序与正常文件绑定

        winrar压缩功能可以设置自动解压并且自动运行里面的程序，使用自解压功能会把文件制作为exe程序，运行后会将文件解压到指定路径，并运行指定文件。

要实现的效果：打开正常的PDF文件同时，运行木马文件，达到上线目的。

具体步骤如下：winrar

准备图标、免杀的木马后门，正常程序（注：命名不要有空格）：

1：将正常文件和木马添加到压缩文件，如下所示，勾选自动解压功能）

       

2：在高级设置里选择自解压选项

       

3：针对自解压选项进行设置

（1）设置解压路径，一般为temp目录，点击确定

（2）设置解压后自动运行的程序

（3）隐藏解压进度，选择全部隐藏

(4) 设置解压缩时，若文件已经存在则自动跳过（否则会提示是否覆盖文件）

 (5) 设置ico图标

实现效果：生成自解压文件.exe文件。

将.exe用空格滞后只显示命名的部分，即京东E卡星月追梦卡中秋卡列.pdf           

                                                     .exe

 注：上述图标可以换成PDF比较真实，

例如：

        

 双击exe.rar之后出现如下效果

打开PDF文件，同时木马程序已经解压至temp文件下，并成功运行。

隐藏手段3：利用github上的工具--------GofileBinder

参考：GitHub - Yihsiwei/GoFileBinder: golang免杀捆绑器

       编译go文件： go build GoFileBinder.go
   
        使用以下命令生成捆绑文件(注：GoFileBinder.exe单独放入一个文件夹中)   
                GoFileBinder.exe    木马.exe xxx.txt

生成：捆绑exe文件（免杀）

 针对上述.exe文件进行换图标，参考手段2。最终将其变为

 实现的效果：点击瞬间，启动木马，同时删除木马文件，打开正常的PDF文件，实现上线且伪装的效果。