图片马并非变成图片的木马,而是指两种伪装方式
该图片木通常并不是真正意义上的图片,是非常古老的木马执行方式,传播方式如QQ发送等。 这类木马程序使用的ico图标通常是从系统中提取jpeg/bmp文件的默认图标,通常也有多个复杂的隐藏后缀来伪装自己,如xxx.jpg.exe或者xxx.jpg.scr等等,目前邮件发送木马更高级的伪装方式有如下几种方式(组合)
XX..fdp.scr
,左右颠倒;
较为常见的图片伪装格式是在webshell的第一行加入GIF89a?
的头部标识。
网上流传较为广泛的制作方法为
copy 正常图片.jpg /b + 一句话.php /a 最终木马.jpg
或者使用photoshop打开图片,在插入简介
中插入一句话代码。
此类木马既可通过Windows图片浏览器显示,也可以在Web网站中作为一句话木马正常运行。