0%

Windows渗透隐藏恶意文件方式以及其特征

宏病毒

  1. 直接使用office加载恶意vbs

winrar漏洞

  1. CVE-2018-20250

自解压

  1. 在没有压缩软件的主机上也可以进行解压的技术,生成的是exe文件。并且可以设置在解压的时候执行某一段程序,这段程序被称为sfx程序

RLO字符

  1. 在Windows下重命名文件名时,右键选中插入Unicode字符->RLO字符。一个字符串中如果有这个字符的话,在Windows显示时就会把RLO右侧的字符串逆序显示出来。

  2. 例如testgnp.exe在t和g中间插入RLO,就会变成testexe.png

  3. system中的特征:image文件名会变成test?gnp.exe(一般文件名中不会允许有?,但是实际可能受中文文件名影响筛选会受到影响)

LNK快捷方式

  1. github上项目Lnkup可以生成LNK文件,实际文件属性中的target会插入恶意构造的语句

  2. 实际在sysmon中不会显示lnk文件名,而直接显示的是调用的cmd或powershell,可能会调用powershell执行一些特殊指令

过长的文件名隐藏后缀

  1. 例如.jpg[多个空格].exe,在sysmon中会看到.exe等可执行文件名前面有超长空格(实际会受到中文文件名的干扰)
-------本文结束  感谢您的阅读-------