文章总结： 本文介绍钓鱼攻击中的恶意文件伪装技术。涵盖修改图标、利用长文件名隐藏扩展名、使用RLO字符反转显示后缀、以及制作伪装快捷方式和自解压包的方法。旨在教育读者识别此类攻击手段以加强安全防护。 综合评分： 82 文章分类： 社会工程学,红队,免杀,渗透测试

钓鱼篇之马子伪装

原创

Syst1m

凌曦安全

2026年1月9日 10:00 上海

本推文提供的信息、技术和方法仅用于教育目的。文中讨论的所有案例和技术均旨在帮助读者更好地理解相关安全问题，并采取适当的防护措施来保护自身系统免受攻击。

严禁将本文中的任何信息用于非法目的或对任何未经许可的系统进行测试。未经授权尝试访问计算机系统或数据是违法行为，可能会导致法律后果。

作者不对因阅读本文后采取的任何行动所造成的任何形式的损害负责，包括但不限于直接、间接、特殊、附带或后果性的损害。用户应自行承担使用这些信息的风险。我们鼓励所有读者遵守法律法规，负责任地使用技术知识，共同维护网络空间的安全与和谐。

凌曦安全课程介绍

• 正文开始前先提一下，凌曦安全团队一期课程即将结课，计划开启二期课程，现在报名一期，可以以一期的价格继续上二期（无二次收费），需要的小伙伴可以看一下这个链接介绍：Zer0 sec 正式更名为 凌曦安全！新的一年，新的课程，元旦特惠来啦~
• 一期课程课程大纲直达链接：https://www.yuque.com/syst1m-/blog/lc3k6elv0zqhdal3

修改文件图标

• 先通过ICO图标提取工具提取图标

• 下载地址：https://github.com/qb40/resource-hacker/

• 将需要伪造的文件拖进工具（微信为例），将图标另存为ico图标

• 将生成的CS马拖入该工具，此时发现是空白，但是无关紧要

• 此时添加刚刚保存的微信ico图标

• 最后点击保存即可

长文件名命名法

• 使用特别长的文件名，可以隐藏文件的真实扩展名，使受害者难以识别文件的真实类型。
• 例如，在文件查看器中，如果文件名过长，可能会截断显示，导致用户看不到文件的最后的扩展名，从而可能将一个可执行文件误认为是一个相对安全的文档。

RLO

• RLO（Right-to-Left Override，从右到左覆盖）是一种特殊的Unicode字符（U+202E），用于改变文本显示方向

手动转换

• 先删除文件名所有内容

• 插入RLO

• 然后输入文件名（exe.pdf），即使此时显示的是exe.pdf，但是实际上是fdp.exe

• 恢复从左到右的顺序，跳到开头最左侧，输入长字符来实现混淆

自动化脚本

快捷方式钓鱼

• 创建一个文件夹，名为__init__

• 生成C2马，将后缀由exe改为png，然后将这个png文件放到__init__文件夹

• 放置一个准备好的pdf文件到__init__

• 在__init__文件夹下创建一个WeChatWin.dll

• 右键创建快捷方式，设置对象的路径

• 伪造pdf图标：右键创建好的快捷方式，选择属性，点击更换图标，找到电脑上的Edge浏览器。

• 右键快捷方式，打开属性，设置目标，然后将起始位置清空并保存

• 将快捷方式重命名为一个贴合实际业务的名称

• 此时将快捷方式以及__init__文件夹打包发给目标，当目标解压并运行快捷方式的时候

• 为了更好的混淆，可以在__init__文件夹中添加大量的看着无关紧要的文件（可以打开一个内容较多的网页，右键将网页另存为，将另存为的文件放到这个文件夹里）

自解压钓鱼

• 快捷方式加自解压，理论上可以实现点压缩包就上线，但是自解压方式上线很容易报毒

• 设置自解压绝对路径

• 设置解压后运行的文件（快捷方式的文件名）

• 修改图标（实际使用的时候可以将图标改成压缩包的图片）

• 设置全部隐藏

• 制作完成

由于群人数超过了200，只能邀请拉群，可以关注公众号，后台回复“加群”，获取助手绿泡泡，联系小助手进交流群

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：凌曦安全 Syst1m《钓鱼篇之马子伪装》