利用Unicode控制字符-RLO构造欺骗性文件后缀

最新推荐文章于 2024-12-27 23:51:25 发布

原创最新推荐文章于 2024-12-27 23:51:25 发布 · 1.7k 阅读

2 ·

CC 4.0 BY-SA版权

文章标签：

#unicode

记录专栏收录该内容

3 篇文章

订阅专栏

本文介绍了一种使用Unicode控制字符RLO(right-to-left override)来构造具有欺骗性的文件后缀的方法。通过将木马与常见文件类型捆绑，并利用RLO使文件名显示为常见类型，如txt，但实际上为可执行文件，如scr。此技巧可用于绕过某些安全检查。

利用Unicode控制字符-RLO构造欺骗性文件后缀

假设已生成木马，并与txt捆绑
命名文件abcdtxt.scr
光标在重命名选项中停在txt前，选择Unicode控制字符RLO(right to left)回车
完成构造 abcdscr.txt

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

csdnfala

关注关注

0
点赞
踩
2

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

一个基于Unicode控制字符的趣味文本生成工具_支持RLO和LRO字符实现文字错位效果_适用于QQ等社交平台的娱乐聊天场景_采用Python开发并集成输入验证机制的多语言界面设计.zip

09-15

本文介绍了一款有趣的文本生成工具，它的核心特色在于能够利用Unicode标准中的控制字符，特别是右至左覆盖（RLO）和左至右覆盖（LRO）字符，实现文本的错位效果。这种效果在QQ等社交平台上具有很高的娱乐性，为聊天...

【C++】利用Unicode控制字符-RLO构造欺骗性文件后缀

lanlanla的成长历程

09-04

2615

普通的利用过程： 1.准备已经生成好的exe程序。 2.重命名该文件，右键，选择“插入unicode控制字符”→“RLO” 3.将正序的文件名“gnp.scr”复制，直接粘贴进去，然后保存得到如下“rcs.png” 一般利用过程首先我们把文件名改为1agnp.exe，然后重命名选中1a和gnp.exe，之间.右键“插入unicode控制字符”→“RLO” 保存文件名，此时文件名显示为1aexe.png 在代码中如何利用首先定义了一个name数组： BYTE...

参与评论您还未登录，请先登录后发表或查看评论

利用Unicode RTLO方法构建恶意文件名

baguangman5501的博客

07-23

906

一：简介 RTLO”字符全名为“RIGHT-TO-LEFTOVERRIDE”，是一个不可显示的控制类字符，其本质是unicode 字符。“RTLO”字符可使电脑将任意语言的文字内容按倒序排列，最初是用来支持一些从右往左写的语言的文字，比如阿拉伯语，希伯来语。由于它可以重新排列字符的特性，会被不法分子利用从而达到欺骗目标，使得用户运行某些具有危害性的可执行文件。二：构造方法（1）（1）...

小技巧：unicode RLO

dengdouweng1282的博客

03-26

1135

unicode 控制字符 RLO 可以将位于其后的文字翻转。于是可以被病毒利用。如图重命名文件，在gpj前插入unicode RLO，之后若不小心，可能会被欺骗，误以为是jpg文件。如果修改程序图标，并且在病毒程序打开前先打开伪装成的正常程序，则很难发现。转载于:https://www.cnblogs.com/lqerio/p/10604414.htm...

认识“JPG、TXT”格式的病毒

weixin_34066347的博客

06-29

836

前两天有突然个坏人从QQ上发来了个rar压缩文件，当时我肯定这个是病毒，但是在我解压后发现，这个是一个asxarcs.txt的文本文件，随后我进入文件夹选项，发现隐藏已知文件类型的扩展名的勾已经去掉了，我又猜想这个可能是个广告吧，于是想打开看看，右击一下后发现，没有打开选项，只有测试、配置、安装这几个选项，此时我意识到不对，这绝对是个病毒、差一点点就打开了，好险。。经过我的...

木马逆名欺骗：利用unicode控制符RLO

FUN

02-10

7633

逆名欺骗木马在文件名中插入控RLO制符，来使文件名逆序显示，达到欺骗的目的。首先Windows系统在解析文件名时，当遇到unicode控制符时，会改变文件名的显示方式。利用这一特性，可以将exe,scr,com等可执行文件伪装成doc,jpg,txt,ppt等。例如我创建一个bat文件，命名为txt.bat。然后点击重命名，在文件名输入框中首先右键点击“插入unicode控制字符”

扩展名欺骗攻击手法之-逆名欺骗(基于RLO控制字符)

neilier的专栏

12-03

558

通过给文件名插入Unicode RLO控制字符，让后续文字显示时从右向左（逆向显示文字），从而达到扩展名欺骗的目的。

DFA-Game-RLO

03-22

DFA游戏RLO 要编辑此项目，请确保已安装。首先，请克隆或下载此存储库。在下载的文件夹中，您可以双击DFA-Game-RLO.yyp文件在GameMaker中打开该项目... 您还可以通过运行DFA-Game-RLO-Demo.exe文件来播放演示版本。

钓鱼篇-利用RLO隐藏exe&文件捆绑&office免杀-远程模板加载上线CS

weixin_45701675的博客

11-26

2174

钓鱼篇-利用RLO隐藏exe&文件捆绑&office免杀-远程模板加载上线CS

unicode RLO 伪装windows文件格式

weixin_65352560的博客

05-05

1630

unicode RLO 伪装windows文件格式小技巧windows伪装文件格式方法原理：在文件名中插入RLO控制符，使文件名逆序显示，从而隐藏真实扩展后。使木马程序的扩展名看上去是常见文件扩展名如txt、doc等。达到诱导点击、隐藏文件目的。示范文件选择文件，重命名，将光标放在exe前面右键选择插入Unicode控制字符->RLO 就可以把exe文件逆序为txt文件格式 ...

改变文件后缀顺序

qq_45844442的博客

08-20

489

对于正常的文件而言，文件名后缀是在最后面的.xxx，但是实际上这个顺序是可以修改的，在进行重命名的时候在重命名文本框中点击右键，选择插入unicode字符，我们可以将文件名命名成如下格式gnp.exe，这样在最前面插入unicode字符选择RLO字符，显示方式将倒过来，从而使文件名成了exe.png，这就是为什么有些奇怪的名字但是却执行的是exe。

RLO文件名欺骗

mgxcool的专栏

02-05

6895

前阵子看一篇apt报告，里面提到了RLO文件名欺骗技术，第一次听说这个词汇，所以在网上搜了一下。大致原理就是，在windows下面，支持一种特殊的unicode字符RLO，一个字符串中如果有这个字符的话，那么在windows下显示时，就会把RLO右侧的字符串逆序显示出来。例：原始字符串：abcd[RLO]efgh 在windows下显示为：abcdhgfe 攻击者可以利用这个特性，

文件名伪装_RLO（红队钓鱼）

qq_44657899的博客

01-25

2339

Rlo，即Right-to-LeftOverride 在文件名中插入此类unicode字符，来达到文件名反转的效果将exe文件命名为mdgnp.exe，然后重命名选中md和gnp，之间插入Unicode控制字符RLO 保存文件名，然后更换图标即可

html pdf文档的格式控制符,关于Unicode控制字符RLO,LRO,PDF 的坑

weixin_39525255的博客

06-10

1355

1、RLO ( Code "\u202E" ; HTML ‮ ) ：开始从右到左的文字；2、LRO ( Code "\u202D" ; HTML ‭ ) ：开始从左到右的文字；3、PDF ( Code "\u202C" ; HTML ‬ ) ：结束上一次定义。(另外还有四个相关的控制字符 RLE 、 LRE 、RLM 、LRM 暂时不举例……)注：mysql数据库编码方式为utf81.问题现象：在...

EXE秒变“PDF”？文件名欺骗（RLO）是如何“改变”文件的后缀的

最新发布

茂盛的森林的博客

12-27

1118

文件后缀是如何被造假的？这篇文章带你了解RLO的真相

钓鱼&文件名反转&office远程模板

qq_50854662的博客

05-29

1938

本文内容涉及程序/技术原理可能带有攻击性，仅用于安全研究和教学使用，务必在模拟环境下进行实验，请勿将其用于其他用途。因此造成的后果自行承担，如有违反国家法律则自行承担全部法律责任，与作者及分享者无关 0x01 件名反转在渗透过程中，有时需要通过钓鱼来来传播一些木马文件，而这些木马文件需要精心的伪装。RLO即 Start Of Right-to-Left override。我们可以通过选择插入Unicode控制字符RLO来达到反转文件名的效果以CobaltStrike生成的木马BypassA.

渗透测试 | 30分钟学会网络钓鱼“骚”姿势

yyyyyybw的博客

09-04

1480

网络钓鱼是通过伪造银行或其他知名机构向他人发送垃圾邮件，意图引诱收信人给出敏感信息(如用户名、口令、帐号 ID 、 ATM PIN 码或信用卡详细信息)的一种攻击方式。

红队钓鱼技术之自解压钓鱼木马

xf555er的博客

08-07

1449

对于使用自解压文件的场景，攻击者可以创建一个自解压的exe文件，该文件解压后自动执行解压出来的文件。然后，通过插入RLO字符，将这个exe文件伪装成另一种看似安全的文件类型，比如文本文件或图片文件。当用户打开这个看似安全的文件时，实际上是在运行恶意的exe文件RLO（Start of right-to-left override）是Unicode定义的一种特殊字符，其ASCII码为0x3F。这个字符被设计来兼容从右至左阅读的文字系统，如阿拉伯语。

钓鱼隐藏--文件后缀&压缩文件&捆绑文件

金灰的博客

06-22

912

免责声明:本文仅做技术交流与学习...

西门子S7-200 RLO边缘检测指令工作时序详解

- PLC起源于用户对于更先进自动控制系统的需要，继电器控制系统存在局限性，如结构复杂、成本高、维护困难等。美国DEC公司的可编程序逻辑控制器（PLC）应运而生，它专为工业环境设计，具有逻辑运算和顺序控制的能力...