社会工程学--如何在普通文件嵌入可执行文件，从零基础到精通，收藏这篇就够了！

温馨提示： 未经授权的渗透测试是违法滴！一切操作需在法律框架内进行，否则后果自负哦！

今天，咱们来聊聊如何“乔装打扮”恶意可执行文件，让它看起来像个老实巴交的PDF、Word文档，甚至是Chrome浏览器。表面上是个正经文件，背地里却暗藏杀机，执行咱们预设的恶意操作，或者偷偷摸摸地给咱们发个反向Shell。这波操作，咱们要请出神器——WinRaR！

假设你已经撸起袖子，写好了一个恶意可执行文件，就等着在受害者主机上搞点事情，或者“热情”地给咱送个反向Shell。那么，如何让它看起来人畜无害呢？

第一步：伪装从“脸”开始

找个好“皮囊”：
打开iconfinder.com，搜索你想要伪装的文件类型图标。比如，你想伪装成Chrome浏览器，那就搜“chrome”。找到心仪的PNG图标，果断下载！

iconfinder.com
“换脸”大法：
用iconconverter.com把PNG图标转换成.ico格式。上传PNG，一键转换，so easy！

icoconverter.com

第二步：瞒天过海，暗度陈仓

“打包”行动：
在桌面上，选中你“钦定”的Chrome浏览器exe（或者其他你想伪装的程序），以及你的恶意可执行文件，右键单击，选择“添加到存档…”，开始我们的“打包”行动。

存档文件名要取个像样的，比如chrome.exe，让人一眼看上去就觉得很“合法”。关键一步：一定要勾选“创建 SFX 存档”！

然后，点击“高级” > “SFX 选项” > “设置”，开始配置我们的“障眼法”。

在“执行后运行”里，依次填入你的恶意exe的名字（比如test.exe），以及“正牌”chrome.exe的名字（执行完恶意exe后，用来迷惑对方的程序）。

接着，选择“文件图标”，把我们之前转换好的.ico文件安排上！

填完这些参数，点击“确定”，一个名为chrome.exe的“高仿”Chrome浏览器就诞生了！双击它，你的恶意可执行文件就会悄悄运行，然后像模像样地打开一个Chrome浏览器标签页，一切都显得那么自然。

恶意 Chrome 与真实 Chrome 相邻

由于我们是用一个非恶意的exe来“带飞”我们的恶意exe，所以通常不需要额外的操作来绕过Defender，简直完美！

第三步：终极伪装（可选）

“变脸”进阶：
如果你想伪装成其他文件类型，比如PDF，可以祭出“从右到左覆盖 (RTLO)”大法！RTLO是一种Unicode非打印字符，可以让文字从右向左显示。简单来说，就是把文本“duang”的一下翻转过来。

比如，你想把文件名改成Reflexe.pdf，你可以插入RTLO，让它在受害者桌面上显示为Refl[Invisible Unicode stuff]exe.pdf，但实际上还是Refl[invisible Unicode stuff]fdp.exe。

打开Windows的“字符映射表”应用程序，勾选“高级视图”框。在“转到 Unicode”选项中，输入202E。分别点击“选择”和“复制”按钮，然后编辑我们创建的WinRaR存档的文件名。输入文件名Refl[CTRL+ v]fdp.exe，然后返回并将Unicode粘贴到指定的位置。一旦您点击粘贴，该文件就会更改为Reflexe.pdf。

但是！问题来了！如果直接伪装成.pdf，Windows Defender可能会比较敏感，直接给它“盖戳”标记了。

这时候，我们可以考虑使用“同形文字”！归根结底，我们只是想让用户看起来像 PDF，那么他们发现其中一个字母看起来有点不同的可能性有多大呢？

同形文字攻击生成器

www.irongeek.com

比如，我们可以把Reflexe.pdf中的“f”替换成一个看起来很像的同形字，这样既能迷惑用户，又能给Defender提供一个不同的签名。

同形字“f”

带有假“f”的文件名与带有真实“f”的文件名

使用新的.pdf扩展名，Windows Defender 实际上在打开 pdf 之前开始扫描，让它打开，然后几秒钟后隔离我的 PDF 文件。然而，这是在我的恶意可执行文件启动反向 shell 之后。就我而言，我在攻击者机器上通过 Villain 收到了一个 netcat shell:)