用户工具

站点工具


网络安全:图片马

图片马

图片马并非变成图片的木马,而是指两种伪装方式

  1. 伪装成图片文件的系统木马
  2. 以图片文件结构欺骗相关防护

伪装成图片文件的系统木马

该图片木通常并不是真正意义上的图片,是非常古老的木马执行方式,传播方式如QQ发送等。 这类木马程序使用的ico图标通常是从系统中提取jpeg/bmp文件的默认图标,通常也有多个复杂的隐藏后缀来伪装自己,如xxx.jpg.exe或者xxx.jpg.scr等等,目前邮件发送木马更高级的伪装方式有如下几种方式(组合)

  • 使用木马,后缀名为阿拉伯文(阿拉伯文顺序右向左),编码过的文件名为XX.rcs.pdf的文件实际为XX..fdp.scr,左右颠倒;
  • 文件名加长后压缩加密,加长文件名可防rar强制以左向右显示文件名,设置压缩密码可增强信任感,同时躲避杀软查杀;
  • 正常文件与木马3夹1,将曾经发送过的工作文件与木马放置一起,按每3个文件带1个木马共同发送。

以图片文件结构欺骗相关防护

较为常见的图片伪装格式是在webshell的第一行加入GIF89a?的头部标识。

网上流传较为广泛的制作方法为

copy 正常图片.jpg /b + 一句话.php /a 最终木马.jpg

或者使用photoshop打开图片,在插入简介中插入一句话代码。

此类木马既可通过Windows图片浏览器显示,也可以在Web网站中作为一句话木马正常运行。


你需要登录发表评论。
网络安全/图片马 · 最后更改: 2017/07/19 10:40

页面工具