RLO
RLO是微软的中东Unicode字符(Middleeast
Unicode)中的一个,Unicode编码为0x202E,其作用是强制其后的字符变为从右到左的方式显示,一般用于中东语言(如阿拉伯语)的强制显示,但是在非中东语言中Explorer遇到此字符仍然是默认右-左显示,例如本來”setup-txt.exe”这样的文件名,在txt前面插入RLO控制字符之后变成”setup-exe.txt”
这个时候我们就发现这个东西岂不是可以隐藏我们的文件名,至少可以在视觉角度上,我上网搜了一下,RLO文件名欺骗这个东西已经很多年了,而且利用在病毒木马的攻击中也非常多
也可以发现有很多的APT攻击都有RLO的影子,本来是老东西了,但是到目前为止仍然是存在很大风险的,并且如果在增加一些东西更可以会“弄假成真”
开始实验
0x00
下了一个evething来做实验,首先将名字改成补考名单.exe
0x01
在补考名单的后面加上cod,注意要反过来,再选插入unicode->RLO
0x02
成功,后缀名改成了doc
但是点开就是应用程序,实现欺骗的目的
参考