文章总结： 文档介绍了高级LNK快捷方式工具在4月18日规则更新后出现误报检测的问题，分析发现是微软云端机器学习检测引擎(MTB)的启发式规则(HCQ)导致。作者通过定位检测点完成修复，版本升级至2.1.0.0，并确认工具功能正常。该工具适用于红队安全测试、企业防御评估及安全意识培训，强调需在合法授权范围内使用。 综合评分： 77 文章分类： 红队,恶意软件,安全工具,漏洞分析,威胁情报

[重要更新]高级lnk快捷方式

原创

陆安予 陆安予

白帽子安全笔记2.0

2026年4月19日 09:43 江苏

在小说阅读器读本章

去阅读

[重要更新]高级lnk快捷方式

该版本修复了4月规则被躺枪检测的问题。

一、背景

研究发现，原本正常（去年10月至今年4月）的高级LNK，在4月3日的规则库中正常，但更新至4月18日的规则后却被检测。

4月3日规则库

4月18日被检测到的特征

这意味着在这一区间，规则库有了新变化。

二、基于机器学习的云检测特征

在微软命名该编号时，以这个为例WinLNK.HCQ!MTB,.和!代表分隔符和修饰符，不需要管。HCQ是Heuristic Check Query的简称，代表启发式标记。启发意味着这是一种“通杀型”检测。而MTB是Machine Threat Blocking的简称，代表检测引擎，意思是机器学习威胁阻止，这意味着这个规则是基于云端的机器学习，通过大量样本总结出来的共性规则。

三、更新内容

经过几个小时的定位，最终锁定那处检测点。

与刚才的理论推断一致，这个位置确实这是一个比较通用的检测点，可以检测出许多LNK文件的共性，因此不是样本被捕获而是躺枪导致！

但是！我又说到但是了，一旦我说到但是，这意味着攻防角色的反转，该规则并不彻底仍有许多绕过选项。

4月18日已修复

修复完成后，已在各环境中进行了能力测试，运行功能无变化，界面无需修改。

主界面

由于上一版更新是去年10月的2.0.0.0，因此版本变更为2.1.0.0。

四、总结

高级LNK是整套项目的重要组成部分，红队进阶必备方案。高级用户可更新至最新。

如果你对这些红队项目感兴趣或想了解更多信息，可查阅我的产品清单《2026年度红队战术攻防武器库产品手册》[1]及协议《合规协议》[2]。

网络安全 #红队训练

五、使用场景

• • 使用该技术评估企业防御体系的可靠性。
• • 使用该技术提高员工办公安全意识。
• • 使用该技术改机安全产品，开发防御方案。

六、免责声明

本文涉及方案仅限合法授权的安全研究、渗透测试用途，使用者须确保符合《网络安全法》及相关法规。具体条款如下：

• • 仅可用于已获得书面授权的目标系统测试；
• • 遵守法律法规，不得用于侵犯他人隐私或数据窃取；

本人不承担因用户滥用本软件导致的任何后果。使用即视为同意并接受上述条款。

相关内容

• • [视频]红队攻防-高级LNK快捷方式
• • [视频]红队攻防-高级LNK快捷方式
• • 高级lnk武器化eset node32
• • [0day]新挖掘到一套高级LNK快捷方式
• • [版本更新]高级lnk快捷方式武器化GUI
• • 大幅更新-高级lnk快捷方式新技术
• • [工具发布]高级lnk快捷方式武器化GUI
• • LNK快捷方式的检测与突破
• • 全网唯一，高级LNK快捷方式新技术发布

引用链接

[1] 《2026年度红队战术攻防武器库产品手册》: https://www.kdocs.cn/l/coR1BuQkseWz [2] 《合规协议》: https://www.kdocs.cn/l/cqPic7iLh0hn

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：白帽子安全笔记2.0 陆安予 陆安予《[重要更新]高级lnk快捷方式》