应急演练场景设计：伪装成PDF的钓鱼木马制作

2026新的一年，又要开始设计新的应急演练场景，收到的场景偏好是勒索、钓鱼、银狐病毒方向。由于去年就设计过钓鱼的应急演练场景，应急演练操作流程 ——攻击方（gophish钓鱼远控上线） 稍加修改便是新的场景。正好之前学的免杀也可以派上用场。

设计思路

黑客将处理好的木马程序（免杀，伪装成 pdf 文件）放在附件中，向办公人员发送钓鱼邮件。办公人员下载附件且杀毒软件没有反应，直接运行了程序，随即自动打开伪装的 pdf 文件，此时木马程序已经在后台静默运行。

开始操作

1. 准备钓鱼文件与启动脚本

首先，处理钓鱼文件：将远控马子做好免杀，并准备一个 pdf 文件（诱饵文档）。
然后，编写一个 bat 启动脚本，用于静默运行木马并自动打开伪装 pdf：

@echo off
cd /d "%~dp0" >nul 2>&1

start "" /b "名字.exe" >nul 2>&1

exit

2. 使用 WinRAR 创建自解压存档

选中三个文件（木马 名字.exe、启动脚本 bat、伪装 pdf），右键选择 “添加到压缩文件”。

在压缩选项中选择 “创建自解压格式压缩文件”（Create SFX archive）。

3. 配置自解压选项

点击 “高级” → “自解压选项”。

在 “常规” 选项卡中，设置解压后运行的程序。这里需要填入启动脚本的名称（例如 bat 文件）和伪装 pdf 的名称。注意：bat 必须写在前面，因为我们要先运行木马，再用木马打开 pdf（设计为 bat 启动木马，木马成功后再自动无感打开 pdf）。

4. 设置图标和压缩选项

在 “文本和图标” 选项卡中，可以加载自定义图标（提前准备一个 pdf 格式的图标文件，如 pdfico），让生成的 exe 看起来更像一个 pdf 文档。

提前准备一个 pdfico 图标文件（可以是 .ico 格式或从 pdf 提取的图标资源）。

5. 生成 EXE 并伪装文件名

点击确定后，WinRAR 会生成一个自解压 exe 程序。

选中该 exe，右键选择 重命名。插入 Unicode 控制字符 RLO（从右向左覆盖），利用这个技巧让文件名看起来像是 pdf 结尾。
注意命名的时候要倒着输 然后你就会发现文件后缀的pdf，exe被颠倒在最前面，再把文件名设计的长一点，可以完美隐藏exe。

注意：命名时要倒着输，然后你会发现文件后缀的 pdf 和 exe 被颠倒在最前面。再把文件名设计得长一些，就可以完美隐藏 exe 扩展名。