习科小黑板 - Silic Wiki

图片马并非变成图片的木马，而是指两种伪装方式

1. 伪装成图片文件的系统木马
2. 以图片文件结构欺骗相关防护

该图片木通常并不是真正意义上的图片，是非常古老的木马执行方式，传播方式如QQ发送等。 这类木马程序使用的ico图标通常是从系统中提取jpeg/bmp文件的默认图标，通常也有多个复杂的隐藏后缀来伪装自己，如xxx.jpg.exe或者xxx.jpg.scr等等，目前邮件发送木马更高级的伪装方式有如下几种方式(组合)

• 使用木马，后缀名为阿拉伯文(阿拉伯文顺序右向左)，编码过的文件名为XX.rcs.pdf的文件实际为XX..fdp.scr，左右颠倒；
• 文件名加长后压缩加密，加长文件名可防rar强制以左向右显示文件名，设置压缩密码可增强信任感，同时躲避杀软查杀；
• 正常文件与木马3夹1，将曾经发送过的工作文件与木马放置一起，按每3个文件带1个木马共同发送。

较为常见的图片伪装格式是在webshell的第一行加入GIF89a?的头部标识。

网上流传较为广泛的制作方法为

copy 正常图片.jpg /b + 一句话.php /a 最终木马.jpg

或者使用photoshop打开图片，在插入简介中插入一句话代码。

此类木马既可通过Windows图片浏览器显示，也可以在Web网站中作为一句话木马正常运行。