目录

图片马

图片马并非变成图片的木马,而是指两种伪装方式

  1. 伪装成图片文件的系统木马
  2. 以图片文件结构欺骗相关防护

伪装成图片文件的系统木马

该图片木通常并不是真正意义上的图片,是非常古老的木马执行方式,传播方式如QQ发送等。 这类木马程序使用的ico图标通常是从系统中提取jpeg/bmp文件的默认图标,通常也有多个复杂的隐藏后缀来伪装自己,如xxx.jpg.exe或者xxx.jpg.scr等等,目前邮件发送木马更高级的伪装方式有如下几种方式(组合)

以图片文件结构欺骗相关防护

较为常见的图片伪装格式是在webshell的第一行加入GIF89a?的头部标识。

网上流传较为广泛的制作方法为

copy 正常图片.jpg /b + 一句话.php /a 最终木马.jpg

或者使用photoshop打开图片,在插入简介中插入一句话代码。

此类木马既可通过Windows图片浏览器显示,也可以在Web网站中作为一句话木马正常运行。