应急演练钓鱼场景-攻击—木马免杀伪装pdf钓鱼

摘要由 AI 智能生成

2026新的一年，又要开始设计新的应急演练场景，收到的场景偏好是勒索、钓鱼、银狐病毒方向。由于去年就设计过钓鱼的应急演练场景，应急演练操作流程 ——攻击方（gophish钓鱼远控上线）稍加修改便是新的场景。正好之前学的免杀也可以派上用场。

设计思路

黑客将处理好的木马程序（免杀，伪装成 pdf 文件）放在附件中，向办公人员发送钓鱼邮件。办公人员下载附件且杀毒软件没有反应，直接运行了程序，随即自动打开伪装的 pdf 文件，此时木马程序已经在后台静默运行。

首先，处理钓鱼文件：将远控马子做好免杀，并准备一个 pdf 文件（诱饵文档）。
然后，编写一个 bat 启动脚本，用于静默运行木马并自动打开伪装 pdf：

@echo off
cd /d "%~dp0" >nul 2>&1

start "" /b "名字.exe" >nul 2>&1

exit

选中三个文件（木马 名字.exe、启动脚本 bat、伪装 pdf），右键选择 “添加到压缩文件”。

在压缩选项中选择 “创建自解压格式压缩文件”（Create SFX archive）。

点击 “高级” → “自解压选项”。

在 “常规” 选项卡中，设置解压后运行的程序。这里需要填入启动脚本的名称（例如 bat 文件）和伪装 pdf 的名称。注意：bat 必须写在前面，因为我们要先运行木马，再用木马打开 pdf（设计为 bat 启动木马，木马成功后再自动无感打开 pdf）。

在 “文本和图标” 选项卡中，可以加载自定义图标（提前准备一个 pdf 格式的图标文件，如 pdfico），让生成的 exe 看起来更像一个 pdf 文档。

提前准备一个 pdfico 图标文件（可以是 .ico 格式或从 pdf 提取的图标资源）。

点击确定后，WinRAR 会生成一个自解压 exe 程序。

选中该 exe，右键选择 重命名。插入 Unicode 控制字符 RLO（从右向左覆盖），利用这个技巧让文件名看起来像是 pdf 结尾。
注意命名的时候要倒着输然后你就会发现文件后缀的pdf，exe被颠倒在最前面，再把文件名设计的长一点，可以完美隐藏exe。

注意：命名时要倒着输，然后你会发现文件后缀的 pdf 和 exe 被颠倒在最前面。再把文件名设计得长一些，就可以完美隐藏 exe 扩展名。