后门木马变形计
字数 1299 2025-08-18 11:38:23

后门木马伪装技术详解

准备工作

  1. 工具准备

    • test.exe:使用msfvenom生成的后门程序
    • index.jpg:用于伪装的图片文件
    • Resource_Hacker:资源修改工具
    • Unitrix:文件名伪装工具

  2. 知识准备

    • 了解基本渗透测试概念
    • 熟悉Windows文件系统特性
    • 了解Unicode字符特性

详细步骤

第一步:图片转换为ICO格式

  1. 访问在线转换网站:https://icoconvert.com/
  2. 上传index.jpg图片文件
  3. 下载转换后的.ico图标文件

第二步:使用Resource_Hacker修改后门资源

  1. 打开Resource_Hacker工具
  2. 通过File > Open导入test.exe后门文件
  3. 在左侧导航栏中找到Version Info文件夹
  4. 点击Add Binary or Image Resource功能按钮
  5. 在弹出的对话框中选择之前转换的.ico文件
  6. 点击Add Resource完成添加
  7. 保存修改后的文件

效果:此时后门程序已具有图片的图标,视觉上更接近图片文件

第三步:修改文件扩展名

  1. 将文件重命名为test.jpg.scr
    • .scr是Windows屏幕保护程序扩展名,实际可执行
    • 这种命名方式可能降低用户警惕性

第四步:使用Unicode字符实现文件名反转

  1. 原理:利用Unicode的RLO(Right-to-Left Override)字符实现文件名反转显示
  2. 操作步骤:
    • 右键文件选择"重命名"
    • jpg前插入RLO字符(U+202E)
    • 保存后文件名会从插入点开始反向显示

示例

  • 原始文件名:testgpj.exe
  • 插入RLO后显示为:testjpg.exe(实际仍是exe文件)
  1. 注意事项:
    • 此方法在Win10下可能无效,Win7下有效
    • 文件名过长导致换行时会影响效果
    • 解决方法:将文件移至较短路径下再操作

第五步:设置监听

  1. 在Metasploit中设置监听模块
  2. 等待受害者双击"图片"时触发后门
  3. 获取目标系统权限

技术要点总结

  1. 图标伪装

    • 通过替换程序图标使恶意程序看起来像图片
    • 使用Resource_Hacker工具修改资源段

  2. 扩展名欺骗

    • 使用.scr等合法但可执行的扩展名
    • 利用Unicode字符实现视觉欺骗

  3. 系统兼容性

    • Win7系统效果最佳
    • Win10系统对Unicode文件名处理方式不同

  4. 免杀要求

    • 单纯的视觉伪装无法绕过杀毒软件
    • 需要配合免杀技术才能有效

防御措施

  1. 不随意打开可疑文件,特别是"图片"文件
  2. 显示完整的文件扩展名(取消"隐藏已知文件类型的扩展名")
  3. 使用专业安全软件
  4. 保持系统更新至最新版本
  5. 对异常文件名保持警惕

参考资源

  1. 原始技术参考:https://null-byte.wonderhowto.com/how-to/hide-virus-inside-fake-picture-0168183/
  2. Tide安全团队官网:http://www.TideSec.net

:本文仅用于安全研究和技术学习目的,请勿用于非法用途。

后门木马伪装技术详解 准备工作 工具准备 : test.exe :使用msfvenom生成的后门程序 index.jpg :用于伪装的图片文件 Resource_Hacker :资源修改工具 Unitrix :文件名伪装工具 知识准备 : 了解基本渗透测试概念 熟悉Windows文件系统特性 了解Unicode字符特性 详细步骤 第一步:图片转换为ICO格式 访问在线转换网站:https://icoconvert.com/ 上传 index.jpg 图片文件 下载转换后的 .ico 图标文件 第二步:使用Resource_ Hacker修改后门资源 打开Resource_ Hacker工具 通过 File > Open 导入 test.exe 后门文件 在左侧导航栏中找到 Version Info 文件夹 点击 Add Binary or Image Resource 功能按钮 在弹出的对话框中选择之前转换的 .ico 文件 点击 Add Resource 完成添加 保存修改后的文件 效果 :此时后门程序已具有图片的图标,视觉上更接近图片文件 第三步:修改文件扩展名 将文件重命名为 test.jpg.scr .scr 是Windows屏幕保护程序扩展名,实际可执行 这种命名方式可能降低用户警惕性 第四步:使用Unicode字符实现文件名反转 原理:利用Unicode的 RLO (Right-to-Left Override)字符实现文件名反转显示 操作步骤: 右键文件选择"重命名" 在 jpg 前插入RLO字符(U+202E) 保存后文件名会从插入点开始反向显示 示例 : 原始文件名: testgpj.exe 插入RLO后显示为: testjpg.exe (实际仍是exe文件) 注意事项: 此方法在Win10下可能无效,Win7下有效 文件名过长导致换行时会影响效果 解决方法:将文件移至较短路径下再操作 第五步:设置监听 在Metasploit中设置监听模块 等待受害者双击"图片"时触发后门 获取目标系统权限 技术要点总结 图标伪装 : 通过替换程序图标使恶意程序看起来像图片 使用Resource_ Hacker工具修改资源段 扩展名欺骗 : 使用 .scr 等合法但可执行的扩展名 利用Unicode字符实现视觉欺骗 系统兼容性 : Win7系统效果最佳 Win10系统对Unicode文件名处理方式不同 免杀要求 : 单纯的视觉伪装无法绕过杀毒软件 需要配合免杀技术才能有效 防御措施 不随意打开可疑文件,特别是"图片"文件 显示完整的文件扩展名(取消"隐藏已知文件类型的扩展名") 使用专业安全软件 保持系统更新至最新版本 对异常文件名保持警惕 参考资源 原始技术参考:https://null-byte.wonderhowto.com/how-to/hide-virus-inside-fake-picture-0168183/ Tide安全团队官网:http://www.TideSec.net 注 :本文仅用于安全研究和技术学习目的,请勿用于非法用途。