惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

月光博客
月光博客
钛媒体:引领未来商业与生活新知
钛媒体:引领未来商业与生活新知
人人都是产品经理
人人都是产品经理
IT之家
IT之家
Cyberwarzone
Cyberwarzone
T
Troy Hunt's Blog
有赞技术团队
有赞技术团队
阮一峰的网络日志
阮一峰的网络日志
T
Threat Research - Cisco Blogs
S
SegmentFault 最新的问题
Apple Machine Learning Research
Apple Machine Learning Research
G
GRAHAM CLULEY
cs.CL updates on arXiv.org
cs.CL updates on arXiv.org
博客园 - 叶小钗
Last Week in AI
Last Week in AI
C
CERT Recently Published Vulnerability Notes
The Hacker News
The Hacker News
Jina AI
Jina AI
T
Tor Project blog
V
Vulnerabilities – Threatpost
酷 壳 – CoolShell
酷 壳 – CoolShell
Spread Privacy
Spread Privacy
博客园_首页
C
Cybersecurity and Infrastructure Security Agency CISA
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
freeCodeCamp Programming Tutorials: Python, JavaScript, Git & More
Simon Willison's Weblog
Simon Willison's Weblog
Security Latest
Security Latest
cs.CV updates on arXiv.org
cs.CV updates on arXiv.org
cs.AI updates on arXiv.org
cs.AI updates on arXiv.org
博客园 - 司徒正美
V2EX - 技术
V2EX - 技术
I
Intezer
The Cloudflare Blog
Cisco Talos Blog
Cisco Talos Blog
SecWiki News
SecWiki News
博客园 - 【当耐特】
奇客Solidot–传递最新科技情报
奇客Solidot–传递最新科技情报
L
Lohrmann on Cybersecurity
Scott Helme
Scott Helme
Google Online Security Blog
Google Online Security Blog
量子位
The Last Watchdog
The Last Watchdog
AI
AI
Application and Cybersecurity Blog
Application and Cybersecurity Blog
S
Security Affairs
P
Palo Alto Networks Blog
S
Secure Thoughts
OSCHINA 社区最新新闻
OSCHINA 社区最新新闻
Attack and Defense Labs
Attack and Defense Labs

云烟博客 | 网络安全实战经验与个人技术成长笔记

网络安全面经持续更新中.. 数据安全应急演练场景--攻击 数据安全应急演练场景开发思路--开发 记一次省护网行动中重要成果挖掘 记一次edusr某大学严重漏洞挖掘 记一次edu信息收集案例 武功山反穿 2025年度总结 typecho留言墙开发 腾格里五湖穿越 typecho足迹插件 LuminTrace v19.0更新日志(重点更新:全新独立城市地图) typecho足迹插件-LuminTrace
应急演练钓鱼场景-攻击—木马免杀 伪装pdf钓鱼
云烟 · 2026-03-12 · via 云烟博客 | 网络安全实战经验与个人技术成长笔记

2026新的一年,又要开始设计新的应急演练场景,收到的场景偏好是勒索、钓鱼、银狐病毒方向。由于去年就设计过钓鱼的应急演练场景,应急演练操作流程 ——攻击方(gophish钓鱼远控上线) 稍加修改便是新的场景。正好之前学的免杀也可以派上用场。

设计思路

黑客将处理好的木马程序(免杀,伪装成 pdf 文件)放在附件中,向办公人员发送钓鱼邮件。办公人员下载附件且杀毒软件没有反应,直接运行了程序,随即自动打开伪装的 pdf 文件,此时木马程序已经在后台静默运行。

开始操作

1. 准备钓鱼文件与启动脚本

首先,处理钓鱼文件:将远控马子做好免杀,并准备一个 pdf 文件(诱饵文档)。
然后,编写一个 bat 启动脚本,用于静默运行木马并自动打开伪装 pdf

@echo off
cd /d "%~dp0" >nul 2>&1

start "" /b "名字.exe" >nul 2>&1

exit

2. 使用 WinRAR 创建自解压存档

选中三个文件(木马 名字.exe、启动脚本 bat、伪装 pdf),右键选择 “添加到压缩文件”

mmn58fj7.png

在压缩选项中选择 “创建自解压格式压缩文件”Create SFX archive)。

mmn59j6r.png

3. 配置自解压选项

点击 “高级”“自解压选项”

mmn5af49.png

“常规” 选项卡中,设置解压后运行的程序。这里需要填入启动脚本的名称(例如 bat 文件)和伪装 pdf 的名称。注意:bat 必须写在前面,因为我们要先运行木马,再用木马打开 pdf(设计为 bat 启动木马,木马成功后再自动无感打开 pdf)。

mmn5byli.png

4. 设置图标和压缩选项

“文本和图标” 选项卡中,可以加载自定义图标(提前准备一个 pdf 格式的图标文件,如 pdfico),让生成的 exe 看起来更像一个 pdf 文档。

mmn5eyn6.png
mmn5drdg.png

提前准备一个 pdfico 图标文件(可以是 .ico 格式或从 pdf 提取的图标资源)。

mmn5e8b1.png

5. 生成 EXE 并伪装文件名

点击确定后,WinRAR 会生成一个自解压 exe 程序。

mmn5fuou.png

选中该 exe,右键选择 重命名。插入 Unicode 控制字符 RLO(从右向左覆盖),利用这个技巧让文件名看起来像是 pdf 结尾。
注意命名的时候要倒着输 然后你就会发现文件后缀的pdf,exe被颠倒在最前面,再把文件名设计的长一点,可以完美隐藏exe。

mmn5hg3y.png

注意:命名时要倒着输,然后你会发现文件后缀的 pdfexe 被颠倒在最前面。再把文件名设计得长一些,就可以完美隐藏 exe 扩展名。
mmn65ecr.png

mmn5lbfu.png


本文链接:https://www.yunyanck.cn/index.php/archives/140/