首页
社区
课程
招聘
[翻译]EmbedExeLnk - 在LNK内嵌入EXE并自动执行
发表于: 2022-2-10 11:00 6098

[翻译]EmbedExeLnk - 在LNK内嵌入EXE并自动执行

2022-2-10 11:00
6098

翻译

原文地址:https://www.x86matthew.com/view_post?id=embed_exe_lnk

功能:在LNK内嵌入EXE并自动执行

我已经在自然环境下看到了各种恶意的LNK文件。这些链接文件通常执行一个脚本(Powershell、VBScript等),下载一个外部payload。

我给自己设定的挑战是创建一个内嵌EXE文件的LNK文件,而不需要外部下载。

这是通过创建一个LNK文件来实现的,EXE文件被附加到最后。LNK文件执行一些Powershell命令,从LNK的末尾读取EXE的内容,将其复制到%TEMP%文件夹中的一个文件,并执行它。

我开发了一个程序,从目标EXE文件中创建一个LNK。

这种方法遇到一些问题:

1. 找到LNK文件的文件名。

当执行Powershell命令从LNK中提取EXE时,我们不知道已经执行的LNK文件的文件名。我们可以对文件名进行硬编码,但这不是一个可靠的解决方案。通过在Powershell命令中存储LNK文件的总大小,并检查当前目录中的所有*.LNK文件,以找到一个具有匹配文件大小的文件来解决这个问题。

2. 找到LNK中EXE数据的偏移量。

这一点通过在Powershell命令中存储原始LNK文件的长度(不包括附加的EXE数据)来解决。

3. 在查看LNK文件的 "属性 "时,Powershell命令是可见的。

这一点通过在目标字段前加上512个空格字符得到了解决。这使 "属性 "对话框中的文本字段溢出,只显示空格。

4. LNK文件有一个可执行文件的图标。

通过将图标位置(使用HasIconLocation标志)设置为"%windir%\system32\notepad.exe "来解决这个问题。


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 2
支持
分享
最新回复 (1)
雪    币: 248
活跃值: (1081)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
赞!感谢介绍。
2022-2-10 15:18
0
游客
登录 | 注册 方可回帖
返回
//