文章总结： 这篇文章详细介绍了攻防实战中的多种钓鱼攻击技巧，包括创建恶意快捷方式、利用CHM文件、使用.scr扩展名、Unicode反转文件后缀、文件图标更换和自解压钓鱼等方法。文章通过图文并茂的方式展示了每种技术的具体实施步骤，帮助安全研究人员了解钓鱼攻击的实现原理和防范方法。作者强调网络安全是长期过程，需要持续学习和坚持。 综合评分： 89 文章分类： 渗透测试,红队,社会工程学,WEB安全,实战经验

【钓鱼攻防】浅谈攻防实战中的钓鱼小技巧

原创

平凡安全

平凡安全

2025年12月20日 20:00 北京

「黄粱一梦终须醒，镜花水月总是空」

「前言」

网络安全技术学习，承认⾃⼰的弱点不是丑事，只有对原理了然于⼼，才能突破更多的限制。

拥有快速学习能力的安全研究员，是不能有短板的，有的只能是大量的标准板和几块长板。

知识⾯，决定看到的攻击⾯有多⼴；知识链，决定发动的杀伤链有多深。

「1、Link钓鱼」

随便选择一个应用或者文件，右键点击创建快捷方式，右键打开属性：

我们需要更改目标这里的目标，这里的目标路径改成我们的攻击载荷，下面的起始位置可以不更改，基本上没啥影响。

选择更改图标，因为我这里改成了cmd，快捷方式对应的图标也会更改为cmd，需要更改一下图标，查找图标路径改成shell32.dll 这里存放这windows系统所以的图标，不建议去自己加

修改一个诱惑的名字

点开后上线

「2、Cobalt Strike制作木马+chm上线」

新建一个文件夹，新建一个index.html

然后打开Easy CHM程序，新建，浏览，选择我们建立好的目录，然后确定：

然后点击编译，然后就会生成一个chm文档

运行后就会上线cs

「3、MyJSRat配合chm进行上线」

注：用kali linux环境运行。 然后访问下 url

复制下来这一串，替换payload

接下来同上，制作chm。 双击上线，执行个whoami命令

「4、使用.scr扩展名」

scr等同于exe后缀名。

「5、unicode反转文件后缀钓鱼」

Unicode（中文：万国码、国际码、统一码、单一码）是计算机科学领域里的一项业界标准。它对世界上大部分的文字系统进行了整理、编码，使得电脑可以用更为简单的方式来呈现和处理文字。而如上技术正是使用了Unicode的RLO（开始从左向右覆盖），Unicode定义的 Start of right-to-left override，控制字符是RLO，ASCII码是0x3F。只要在一行字符前面加上一个0x3F就可以实现文本的反向排列。这个0x3F是Unicode为了兼容阿拉伯文字从左至右的阅读习惯设计的一个转义字符。

选择木马，重命名，然后点击插入unicode控制字符

更改文件名为

光标移动到g之前选择RLO反转。

反转后的命名

「6、文件图标更换」

目标exe都拖入到软件中，选择ico文件

保存

文件类型还是scr

运行后成功上线

「7、自解压钓鱼+RLO」

这里就用刚刚改好的木马，创建自解压文件：

点击高级，自解压选项，常规，设置自解压路径

点击设置，设置解压后运行文件的路径

模式选择全部隐藏

更新设置成覆盖所有文件，保证二次自解压不报错，不会引起怀疑

压缩完之后

点击后成功上线

「网络安全感悟」

网络安全是一个长期的过程，因为网络安全没有终点，不管是网络安全企业，还是在网络安全行业各种不同方向的从业人员，不管你选择哪个方向，只有在这条路上坚持不懈，才能在这条路上走的更远，走的更好，不然你肯定走不远，迟早会转行或者被淘汰，把时间全浪费掉。

如果你觉得自己是真的热爱网络安全这个行业，坚持走下去就可以了，不用去管别人，现在就是一个大浪淘金的时代，淘下去的是沙子，留下来的才是金子，正所谓，千淘万漉虽辛苦，吹尽狂沙始到金，网络安全的路还很长，一生只做一件事，坚持做好一件事！

「攻防交流群」

「声明」

文笔生疏，措辞浅薄，敬请各位大佬不吝赐教，万分感谢。

免责声明：由于传播或利用此文所提供的信息、技术或方法而造成的任何直接或间接的后果及损失，均由使用者本人负责， 文章作者不为此承担任何责任。

转载声明：平凡安全 拥有对此文章的修改和解释权，如欲转载或传播此文章，必须保证此文章的完整性，包括版权声明等全部内容。未经作者允许，不得任意修改或者增减此文章的内容，不得以任何方式将其用于商业目的。

CSDN:
https://rdyx0.blog.csdn.net/

公众号：
https://mp.weixin.qq.com/mp/appmsgalbum?__biz=Mzg5NTU2NjA1Mw==&action=getalbum&album_id=1696286248027357190&scene=173&from_msgid=2247485408&from_itemidx=1&count=3&nolastread=1#wechat_redirect

博客:
https://rdyx0.github.io/

先知社区：
https://xz.aliyun.com/u/37846

SecIN:
https://www.sec-in.com/author/3097

FreeBuf：
https://www.freebuf.com/author/%E5%9B%BD%E6%9C%8D%E6%9C%80%E5%BC%BA%E6%B8%97%E9%80%8F%E6%8E%8C%E6%8E%A7%E8%80%85

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：平凡安全 平凡安全《【钓鱼攻防】浅谈攻防实战中的钓鱼小技巧》