EXE秒变“PDF”?文件名欺骗(RLO)是如何“改变”文件的后缀的

最新推荐文章于 2026-04-01 04:41:07 发布
原创 最新推荐文章于 2026-04-01 04:41:07 发布 · 1.4k 阅读 · 3 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#网络安全 #windows

这个文件有什么问题?

一个“PDF”文件是如何携带上病毒的?可能他就是一个exe。
然而,为什么这样的程序却能够顺利地被打开?答案就是对于文件扩展名的完全信任。
这个文件形如下面:
被伪造的“PDF”
看上去像是一个PDF,看上去没什么危害,但当你打开后……

然而,“查看扩展名”却处于开启状态,那么,扩展名是如何被伪造的呢?

答案就是RLO字符

什么是RLO字符?

RLO字符是一个Unicode中定义的一个特殊字符,用于使语言文字从右向左书写(要知道,某些国家的文字是从右向左书写的),当出现一个RLO字符后,系统将会反转其后方的所有字符,直到遇到LRO字符(从左到右重写)。
这个字符原本是用于适应特殊的拼写方式,然而现在却被有心人利用了

RLO字符如何“改变”扩展名

明白了RLO字符是什么,一切也明白了。
只需要利用RLO字符来反转文件名,就可以将真实的后缀显示到其他位置,从而展示一个虚假的后缀。
比如刚刚的那个文件
文件名:

这不是pdf!这是‮fdp.exe

如果你尝试复制并解码,会发现其中有隐藏字符,而这个字符就是前文中提到的RLO。
所以这个文件的真实名称是“这不是pdf!这是(RLO)fdp.exe
现在,可能您已经知道他的真实后缀了,那么……怎么辨别他们呢?

如何辨别这样的文件?

方式1:看属性

由于属性中的信息不变,因此可以看文件的属性,进而得知文件的真实类型
属性中的文件类型没有发生变化
另外,你可能也注意到了标题栏中的“性属”,这也同样是由于RLO字符反转后造成的

方式2:使用“详细信息”视图

在详细信息视图中,会显示文件类型

方式3:使用杀软扫描

这种方式只改变了文件名,因此骗不了杀软。

(这个杀软还把RLO字符给忽略了,它原本看上去是“木马exe.示例.pdf)

草率的结尾

本来还想加点什么的,但是不想写了~

揭秘Unicode RLO控制字符:Windows文件名欺骗的隐形杀手
最新发布
weixin_29281915的博客
04-02 329
本文深入解析了Unicode RLO控制字符在Windows文件名中的欺骗风险,揭示了其如何通过扩展名隐藏和显示反转进行攻击。通过实际案例和技术原理分析,提供了系统设置、文件校验、办公文档防护和终端防护软件配置等多重防御措施,帮助用户有效防范这一隐形安全威胁。
Unicode反转字符文件名植入攻击实验
yellow_fish_flag的博客
10-30 2664
Unicode反转字符文件名植入攻击实验 一、 实验目的  理解如何通过向对方发送伪造的 Microsoft Office Word 文档来植入木马程序的技术手段。  掌握利用 Unicode 反转字符特性来捆绑可执行木马构建恶意文档的方法。  了解使用 System Safety Monitor(SSM)分析恶意文档的攻击流程。 二、 实验原理 Unicode反转字符串概述 利用工具生成的“反转字符串”类型的后门程序,所利用的工具可以自动生成任意伪装后缀名的文件,例如:.txt、.jpg 、.mp
钓鱼&文件名反转&office远程模板
qq_50854662的博客
05-29 2040
本文内容涉及程序/技术原理可能带有攻击性,仅用于安全研究和教学使用,务必在模拟环境下进行实验,请勿将其用于其他用途。因此造成的后果自行承担,如有违反国家法律则自行承担全部法律责任,与作者及分享者无关 0x01 件名反转 在渗透过程中,有时需要通过钓鱼来来传播一些木马文件,而这些木马文件需要精心的伪装。RLO即 Start Of Right-to-Left override。我们可以通过选择插入Unicode控制字符RLO来达到反转文件名的效果 以CobaltStrike生成的木马BypassA.
关于Unicode控制字符RLO,LRO,PDF 的坑
09-03 4928
1、RLO ( Code "\u202E" ; HTML ‮ ) :开始从右到左的文字; 2、LRO ( Code "\u202D" ; HTML ‭ ) :开始从左到右的文字; 3、PDF ( Code "\u202C" ; HTML &amp...
文件名伪装_RLO(红队钓鱼)
qq_44657899的博客
01-25 2470
Rlo,即Right-to-LeftOverride 在文件名中插入此类unicode字符,来达到文件名反转的效果 将exe文件命名为mdgnp.exe,然后重命名选中md和gnp,之间插入Unicode控制字符RLO 保存文件名,然后更换图标即可
红队钓鱼技术之自解压钓鱼木马
xf555er的博客
08-07 1589
对于使用自解压文件的场景,攻击者可以创建一个自解压的exe文件,该文件解压后自动执行解压出来的文件。然后,通过插入RLO字符,将这个exe文件伪装成另一种看似安全的文件类型,比如文本文件或图片文件。当用户打开这个看似安全的文件时,实际上是在运行恶意的exe文件RLO(Start of right-to-left override)是Unicode定义的一种特殊字符,其ASCII码为0x3F。这个字符被设计来兼容从右至左阅读的文字系统,如阿拉伯语。
【C++】利用Unicode控制字符-RLO构造欺骗文件后缀
lanlanla的成长历程
09-04 2756
普通的利用过程: 1.准备已经生成好的exe程序。 2.重命名该文件,右键,选择“插入unicode控制字符”→“RLO” 3.将正序的文件名“gnp.scr”复制,直接粘贴进去,然后保存 得到如下“rcs.png” 一般利用过程 首先我们把文件名改为1agnp.exe, 然后重命名选中1a和gnp.exe,之间.右键“插入unicode控制字符”→“RLO” 保存文件名,此时文件名显示为1aexe.png 在代码中如何利用 首先定义了一个name数组: BYTE...
Windows文件名欺骗实战:用Python脚本一键生成RLO逆名攻击文件(附防御方案)
prometheus5watch的博客
02-28 779
本文深入解析了Windows文件名欺骗中的RLO控制字符攻击原理,并提供了Python自动化脚本生成伪装文件的方法。文章详细阐述了攻击场景,并为企业管理员提供了从终端加固、网关过滤到监控响应的多层次纵深防御方案,帮助有效识别和防范此类社会工程学攻击。
小心!你的文件后缀可能被动了手脚——揭秘Unicode RLO字符的欺骗
weixin_29324401的博客
03-03 386
本文揭秘了利用Unicode RLO字符伪造文件后缀名的欺骗性攻击手法。攻击者通过插入RLO控制字符,使恶意文件在屏幕上显示为无害的常见格式(如.jpg、.pdf),实则可能是可执行程序。文章详细解析了其工作原理、社会工程学结合的攻击链条,并提供了从显示文件扩展名到使用命令行检测等多层次防御策略,帮助用户识别此类视觉陷阱,提升数字安全意识。
Windows文件名欺骗实战:如何用RLO控制字符伪装exe为docx(附Python脚本)
weixin_29305313的博客
02-28 447
本文深入剖析了利用Unicode RLO控制字符在Windows系统中进行文件名欺骗的攻击手法。通过实战演示,详细解释了如何将.exe可执行文件伪装成.docx文档,并提供了用于自动化生成与检测的Python脚本。文章旨在帮助安全研究人员和系统管理员理解此类社会工程学攻击的原理,并探讨了从技术防护到安全意识培训的多层次防御策略。
Unicode : RLO
weixin_34245169的博客
05-30 556
分类:备忘,Unicode,Perl 我们一般的输入文字的方向是从左往右,但是世界上总有特例,阿拉伯国家是从右到左的书写方式。经常看到微信里面好友得瑟,也就拿过来总结一下. 每个语言都能实现字符串反转啦,不过和 RLO 还不一样,RLO 的删除是从左向右的。 RLO 是 Right-to-Left Override,具体看 Reference 2 below Perl5可以 use utf...
认识“JPG、TXT”格式的病毒
weixin_34066347的博客
06-29 883
前两天有突然个坏人从QQ上发来了个rar压缩文件,当时我肯定这个是病毒,但是在我解压后发现,这个是一个asxarcs.txt的文本文件,随后我进入文件夹选项,发现隐藏已知文件类型的扩展名的勾已经去掉了,我又猜想这个可能是个广告吧,于是想打开看看,右击一下后发现,没有打开选项,只有测试、配置、安装这几个选项,此时我意识到不对,这绝对是个病毒、差一点点就打开了,好险。。 经过我的...
html pdf文档的格式控制符,关于Unicode控制字符RLO,LRO,PDF 的坑
weixin_39525255的博客
06-10 1430
1、RLO ( Code "\u202E" ; HTML ‮ ) :开始从右到左的文字;2、LRO ( Code "\u202D" ; HTML ‭ ) :开始从左到右的文字;3、PDF ( Code "\u202C" ; HTML ‬ ) :结束上一次定义。(另外还有四个相关的控制字符 RLE 、 LRE 、RLM 、LRM 暂时不举例……)注:mysql数据库编码方式为utf81.问题现象:在...
Watch out!伪装成PDF文件的病毒!
轻鸢剪掠
04-24 4402
PDF有毒?没错。近期,一款新种恶意程序尝试将自己隐藏为一个PDF文档,当用户点击PDF快捷方式时,这款恶意程序即自动激活,感染用户的计算机。更危险的是,很多第三方杀毒软件并不能识别该种病毒。 在传播方式来看,这款种恶意程序一般通过E-mail附件进行传播,这种附件一般采用Zip压缩存档格式。预览这个Zip压缩包,里面只包含一个“PDF文档”以及若干个“快捷方式”,但是解压后,这个“P
RLO文件名欺骗
mgxcool的专栏
02-05 7090
前阵子看一篇apt报告,里面提到了RLO文件名欺骗技术,第一次听说这个词汇,所以在网上搜了一下。 大致原理就是,在windows下面,支持一种特殊的unicode字符RLO,一个字符串中如果有这个字符的话,那么在windows下显示时,就会把RLO右侧的字符串逆序显示出来。 例: 原始字符串:abcd[RLO]efgh 在windows下显示为:abcdhgfe 攻击者可以利用这个特性,
从零开始:如何在C++中利用Unicode RLO字符实现文件后缀伪装
weixin_33724046的博客
04-01 368
本文详细介绍了在C++中利用Unicode RLO字符实现文件后缀伪装的技术方法。通过解析RLO字符的工作原理和C++中的Unicode字符串处理技巧,开发者可以了解如何创建视觉欺骗文件名,同时探讨了相关的防御措施和合法应用场景,为数字安全领域的研究和实践提供了有价值的参考。
社工钓鱼新姿势:如何用RLO技术让exe伪装成pdf或jpg文件(含详细操作步骤)
kk1234的博客
03-01 276
本文深入解析了社工钓鱼中利用RLO(从右至左覆盖)字符进行视觉欺骗的技术。通过Unicode控制字符,攻击者可将恶意.exe文件伪装成.pdf或.jpg等无害格式,详细演示了操作步骤与原理,并提供了从系统加固、网关防护到安全意识培训的立体防御策略,帮助红队与防御方深入理解并防范此类威胁。
【C++】揭秘Unicode控制字符-RLO文件伪装中的高级应用
weixin_29325955的博客
03-25 383
本文深入探讨了Unicode控制字符RLO在C++编程中的高级应用,特别是其在文件伪装中的工作原理与安全风险。通过实例代码展示了如何利用RLO字符实现文件后缀欺骗,并提供了防御措施与检测技术,帮助开发者识别和防范此类安全威胁。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值