标签：202E exe 扩展名 文件 恶意 把戏 字符 欺骗

原文：https://galogetlatorre.blogspot.com/2013/07/how-can-you-be-fooled-by-u202e-trick.html

恶意攻击者用来愚弄他们的受害者的一个常见技术是使用 Unicode 特殊字符 U+202E，即强制从右向左覆盖控制，使恶意文件看起来像一个普通文档，而不是一个潜在的危险的可执行文件，执行后即使在命令行标题栏上也看不到原来的扩展名。

为了理解这个概念，想象一下，恶意文件是 document.exe。

按照下面的步骤来完成目标：

• 打开Windows字符表（charmap）
• 找到并复制Unicode字符 U+202E，在左下方显示了字符的ASCII值
  
• 粘贴扩展点之前的字符：document[[U+202E]] .exe
• 接着输入想要的扩展名，但要反向输入，例如，如果想要 pdf，那么需要写 fdp
  

最后，为了完善感染载体，一个好主意是改变恶意文件的图标，同时使用一个可以欺骗用户的名称，考虑到必须保留 exe 或原始扩展名，例如 annexe（附件）。

可能的对策：

• 如果尝试重命名文件（F2），会看到由特殊字符产生的奇怪效果
• 如果是在基于 GNU/Linux 的系统中，可以用一些命令检查文件的头文件
• 另一个可以用来验证任何文件的名称和扩展名的技巧是使用命令提示符
  

在可疑文件的位置上打开一个命令提示符，输入名字的前两个字符并按下 Tab，系统会自动完成真实的名字，文件名中有（一个或多个）不被识别的奇怪字符，显示为 2 个问号，揭示了 U+202E 字符的存在。

标签：202E,exe,扩展名,文件,恶意,把戏,字符,欺骗
来源： https://www.cnblogs.com/stansec/p/U202E.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。