免责声明

本文仅用于技术讨论与学习，利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者及本公众号团队不为此承担任何责任。

使用场景

在护网行动中可能会使用社会工程学进行攻击，这就免不了要尝试钓鱼，但是就目前情况来看，很多人还是有一定安全意识的，也多少接受过一些公司或者单位组织的安全意识培训，特别是每次护网前夕都会重点强调谨防钓鱼诈骗，他们知道不能随便点击可疑的链接或者文件，那么有没有一种方法能让你的恶意程序看起来像是正常的文件一样呢？诶☝😎💡，还真有！

创建过程  

恶意程序   

首先假设我们自己或从大佬（帮帮我，史瓦罗先生！）那里搞了一个恶意程序“shell.exe”，它在双击以后会在受害者的电脑上反弹shell或者执行其他危险操作。

寻找外观   

如何选择外观   

其次我们需要选择一个合理的外观图标，这可以根据你所社工的对象来定，例如：VPN、浏览器、邮箱、杀毒软件、钉钉、甚至可以是QQ或者微信，总之就是针对目标单位收集到的信息怎么合理怎么来，到时候也方便构造话术：什么公司安全新规定要对使用的VPN进行升级啊、什么公司和百度达成战略合作以后可以直接使用百度搜索你的任何问题啊（bushi）。

注意！你得确定你选择的正常程序是受害人电脑上有的，所以这里一般推荐使用主流浏览器或者将其伪装成其他文件如PDF、word等。

对外观进行处理  

这里为了避免其它麻烦我们使用Google浏览器Chrome的图标进行演示，毕竟它连俄罗斯天价罚款都不交更别说找我麻烦。

iconfinder是一个强大的免费素材库网站（https://www.iconfinder.com/），我大学做PPT全靠它，点击想要的图标进行下载即可。

进一步处理刚刚下载好的图标，使用iconconverter网站（https://www.icoconverter.com/）对该图标进行格式转换

上传Chrome图标并将它从.png格式转换为.ico    

将恶意程序和正常程序整合   

这一步需要用到rar压缩工具，此前还介绍过通过模仿win.rar域名进行钓鱼攻击的文章，有兴趣的师傅可以去看看

将“shell.exe”和Chrome一起选中，右键并选择添加到压缩文件

将文件名改为“chrome.exe”，其他保持默认即可    

点击高级并选择自解压文件选项

选择设置并在解压后运行里面输入我们要整合的两个程序的名称，如果不确定正常程序的名称可以右键该程序图标选择打开文件所在位置查看    

先别急着保存，再选择模式勾选如图的两个选项

下一步就是将整合文件的图标替换成我们上面找到Chrome的ico文件

选择文本和图标，选择我们存放图标的路径即可

最后一步，点击更新，并选中如图两个选项，然后点击确定保存即可

这时候我们的整合程序就会出现在桌面上

由于在创建时我们选择了同时运行shell.exe和chrome.exe，所以受害人在运行这个的时候会正常打开Chrome浏览器，而且在确保shell可靠的情况下，同时也会运行我们的恶意代码，下一步你就可以愉快的上线收菜啦。

进阶技巧----将恶意程序伪装成正常文件   

可以将恶意程序伪装成pdf、word、docx等文件格式，但是写到这里已经是后半夜了，该补觉了，睡醒之后可能会继续写或者丢到知识星球里去（请原谅一个明天正常上班且有轻微拖延症的社畜)

总结  

基于文章需要，我构建了一个最理想的情况，但实际上前期的信息收集和打点是必不可少的，这是我们成功社工的基础，后续能免杀或者反弹shell的恶意代码同样重要，不然可能连windows自带防火墙那一关都过不了，技术是一条永无止境的道路，而我们都在路上前行，希望这篇文章能对你们有所帮助。

原文始发于微信公众号（CatalyzeSec）：【红队技巧】如何将恶意文件伪装成正常文件