网络安全是数字时代的基石但学习过程中必须严守法律红线。‌根据《中华人民共和国网络安全法》《数据安全法》等法律法规任何未经授权的网络测试、数据访问或攻击行为均属违法。本文所有技术讨论与实例均基于‌合法授权的靶场环境‌如Metasploitable、DVWA、Hack The Box等严禁将文中方法应用于真实系统或非授权场景。网络安全学习应以提升防御能力为目标而非成为攻击工具。一、认识社会工程学​ 社会工程学是网络安全领域中一种利用人性弱点如信任、恐惧、好奇、贪婪等进行心理操纵以诱骗他人泄露敏感信息或执行特定操作的攻击手段。与传统黑客攻击系统漏洞不同社会工程学攻击的是“人”这一最脆弱的防线。它不依赖复杂技术而是通过伪装、欺骗、诱导等方式绕过安全防护常被用于获取密码、访问权限、财务信息等。​ 随着时代的飞速发展AI技术已经越来越广泛的运用于日常生活中。AI技术给人类生活工作带来便利的同时也会给网络安全带来更大的威胁和挑战1、社会工程学的常见攻击类型‌**网络钓鱼Phishing**‌攻击者伪装成可信实体如银行、公司IT部门通过邮件、短信或社交媒体发送虚假信息诱导用户点击恶意链接或下载带毒附件。例如一封看似来自人力资源部的“工资单更新”邮件实则包含木马程序。‌鱼叉式钓鱼与鲸鱼钓鱼‌‌鱼叉式钓鱼‌针对特定个人定制的精准钓鱼利用公开信息如社交账号提高可信度。‌鲸鱼钓鱼‌专门针对高管或关键岗位人员常以紧急财务指令为由诱导转账或泄露机密。‌**诱饵攻击Baiting**‌利用人们的好奇心或贪便宜心理如在办公区丢弃标有“薪资清单”的U盘一旦员工插入电脑便会自动执行恶意代码。FIN7组织曾用含Arduino的USB设备模拟键盘输入实现远程控制。‌**尾随与伪装Tailgating Impersonation**‌攻击者伪装成维修工、快递员或新员工通过物理接近进入受限区域。例如冒充IT支持人员进入办公室安装嗅探设备。‌逆向社会工程学‌高阶手法攻击者先建立可信形象如发布技术文章、参与社区再诱导目标主动求助从而获取权限。2、社工利用链信息收集 -- 确定目标 -- 确定攻击手法 -- 伪造身份 -- 开始攻击 -- 达成目标 -- 深藏功与名3、如何防范社会工程学攻击‌加强安全意识培训‌定期开展模拟钓鱼演练提升员工识别能力。企业可组织内部“红队”测试暴露薄弱环节。‌严格身份验证流程‌对敏感操作如转账、权限变更实施多层级审批和二次确认机制。‌最小权限原则‌限制员工对核心系统的访问权限降低单点突破带来的风险。‌技术防护结合‌使用邮件过滤、终端检测与响应EDR、行为分析等技术手段识别异常活动。二、APT攻击**APTAdvanced Persistent Threat**即高级持续性威胁是一种周期较长、隐蔽性极强的攻击模式。攻击者精心策划长期潜伏在目标网络中搜集攻击目标的各种信息如业务流程、系统运行状况等伺机发动攻击窃取目标核心资料。1、攻击过程APT攻击生命周期较长一般包括如下过程2、常用攻击手段2.1 水坑攻击Watering Hole​ 水坑攻击顾名思义就是在您每天的必经之路挖几个坑等您踩下去。水坑攻击是APT常用的手段之一通常以攻击低安全性目标来接近高安全性目标。攻击者会在攻击前搜集大量目标的信息分析其网络活动的规律寻找其经常访问的网站弱点并事先攻击该网站等待目标来访伺机进行攻击。由于目标使用的系统环境多样、漏洞较多如Flash、JRE、IE 等使水坑攻击较易得手且水坑攻击的隐蔽性较好不易被发现2.2 路过式下载Drive-by Download​ 路过式下载就是在用户不知情的情况下下载间谍软件、计算机病毒或任何恶意软件。被攻击的目标在访问一个网站、浏览电子邮件或是在单击一些欺骗性的弹出窗口时可能就被安装了恶意软件。2.3 网络钓鱼和鱼叉式网络钓鱼Phishing and Spear Phishing​ 钓鱼式攻击是指攻击者企图通过网络通信伪装成一些知名的社交网站、政府组织、金融机构等来获取用户的敏感信息。鱼叉式网络钓鱼则是指专门针对特定对象的钓鱼式攻击。鱼叉式网络钓鱼通常会锁定一个目标可能是某一个组织的某个员工。2.4 零日漏洞Zero-day Exploit​ 零日漏洞就是指还没有补丁的安全漏洞。攻击者在进入目标网络后可轻易利用零日漏洞对目标进行攻击轻松获取敏感数据。由于此漏洞较新不易发现并且没有补丁所以危险性极高。三、APT攻击–邮件钓鱼1、SPF协议发送方策略框架Sender Policy Framework—— 邮件身份验证机制SPF是构建可信邮件通信的第一道防线能有效防止域名被伪造用于发送垃圾邮件或钓鱼攻击。工作原理域名管理员在DNS中添加一条TXT记录声明哪些邮件服务器IP地址被授权代表该域名发送邮件。当接收方邮件服务器收到邮件时会提取“信封发件人”MAIL FROM的域名并查询其DNS中的SPF记录。比对实际发信IP是否在授权列表中判断邮件合法性匹配 → 接受不匹配 → 可能被标记为垃圾邮件或拒绝简单理解就是为了防止伪造邮件而设置的一种保护机制查询是否配置SPF# CMD启动命令行nslookup-typetxt qq.comnslookup-typetxt163.com# Linux环境下dig-ttxt qq.comdig-ttxt163.com以上协议是邮件常用的保护机制。也就是说如果想要进行邮件伪造那么就必须绕过这个协议。2、邮件可以被伪造的根本原因​ 邮件发送和接受遵循SMTP协议电子邮件传输协议该协议不会验证发送者的身份当邮件在两个不同的SMTP邮件服务器中被传输时有心者可以通过伪造来源欺骗接收者的SMTP服务器。​ 当没有配置SPF时也就是没有配置邮件保护机制的时候。邮件服务器就不会去验证发件人就可以直接进行伪造3、无SPF协议时邮件伪造需要的条件临时邮箱https://www.linshi-email.com/临时邮箱http://24mail.chacuo.net/Fastmail邮件伪造发送端3.1 利用邮件伪造工具给临时邮箱发邮件3.2 kali系统中的邮件伪造工具swaks --to dsxhws32s8iwatermail.com --from 12345qq.com -ehlo qq.com --body hello --headertestswaks --header-X-Mailer--header-Message-Id--header-ContentTypetext/html--fromQQ管理adminqq.com--ehlo xiaolin -headerSubject:测试--body 我们做了一个测试 --to oitfsomdfqiubridge.com --to 收件人邮箱 --from 要显示的发件人邮箱 --ehlo 伪造的邮件ehlo头即发件人邮箱的域名。提供身份认证 --body 引号中的内容即为邮件正文 --header 邮件头信息邮件标题swaks常用参数–to收件人邮件地址–from发件人邮件地址–h-From显示的发件人名称和发件人邮件地址若发件人邮件地址与 --from不一致将会显示–attach-type包括两种格式纯文本样式text/plain、HTML样式text/html–attach-body邮件正文–header邮件标题–ehloehlo header–header-X-MailerX-Mailer header–header-Message-IdMessage-Id header4、有SPF协议时邮件伪造4.1 软刚伪造打字眼思路配置了SPF的邮箱会检测邮件来源那么如果稍微修改一下邮件的来源地址让他看起来和正常的地址区别不大能否成功绕过SPF呢使用真实邮箱做个实验将发送人邮件地址改为12345qq.com.cn。并使用以下命令发送伪造的邮件swaks --to 接收邮件的邮箱地址 --from 12345qq.com.cn -ehlo qq.com --body hello --headerkali send# 将发件人信息中的mailservice.netease.com后面加上.cn让他看起来和真正的“网易邮件中心”极其相似除了在后缀上面加上.cn之外还可以有很多种伪造方式com改为c0mservice小写改成Service大写aliyun.com改为a1iyun.com(字母改成数字)等等…这就是邮件钓鱼中软刚的运用修改一些字眼使发件人信息看起来和真实的没啥区别安全意识不强的人很容易就相信了。在日常生活中这样的运用也是有很多例如雷’碧、土’力架、康’帅’傅、‘粤’利’粤’4.3硬刚伪造转发突破思路伪造的邮件直接发送给对方时会被对方SPF检测来源从而导致邮件被拦截或者直接进入垃圾箱。注册一个大众常用的邮箱然后开启POP3转发功能。这样本该由伪造者直接发送给目标的邮件会经有中转邮件转发简单来说当开启网易邮箱转发功能之后kali发送伪造邮件给QQ邮箱时会由网易邮箱代为转发。这样QQ邮箱的SPF协议检测邮件来源时会显示是由网易邮箱发送的因此可以绕过SPF检测使用swaks 绕过SPF其实就是--from后面的参数与--server后面的参数保持一致。详细步骤注册一个已知的邮箱系统大众常用的开启POP3邮件转发功能此处开启163邮箱的pop3功能将开启后的授权码记录下来找需要伪造的邮件正式的邮件比如QQ、网易、阿里云导出为test.eml。这里为一个qq邮箱里的测试邮件以文本打开导出的邮件修改伪造邮件的内容from发件人邮箱to收件人信息Date时间(自定义)内容根据情况伪造邮件内容此处不做更改发件人邮箱全部改为伪造的邮箱1122334163.comDate改为Date: Fri, 6 Mar 2025 13:49:50 0800 (CST)将修改过的邮件内容上传到kali调用swaks发送伪造邮件swaks --to 邮箱地址 --from 1122334163.com --data test.eml --server smtp.163.com -p 25 -au 1122334163.com -ap 授权码–data 将正常源邮件的内容保存成TXT文件再作为正常邮件发送–server 调用163网易邮箱的smtp转发服务-p 指定SMTP服务器的端口号-au 指定SMTP服务器的URL地址-ap 指定用户凭据4.4 注意点​ 现在的网络邮箱通过此方法进行邮件伪造转发时需要邮箱地址与smtp的授权码相对应smtp服务器的地址与邮箱地址相对应。否则邮件不会转发成功。当然你也可以用软刚伪造打字眼的方法但是邮件通常会被当作垃圾邮件。关键在于SPF验证你是否会绕过。比如swaks--to12345foxmail.com\--fromno-reply no-reply3dtank.com.cn\--headerFrom: no-reply no-reply3dtank.com.cn\--ehloqq.com\--headerSubject: 测试邮件\--add-headerContent-Type: text/html; charsetutf-8\--body$(catEOF html body stylefont-family: Arial, sans-serif; line-height: 1.6; color: #333; div stylemax-width: 600px; margin: 0 auto; padding: 20px; p您好/p /div /body /html EOF)–to 后边跟的是测试用的真实邮箱地址四、邮件钓鱼的内容伪造gophish工具gophish官方下载地址https://github.com/gophish/gophish/releases此工具是全英文界面下面看到的中文界面是使用浏览器翻译的1、打开gophish.exe初次打开时会提供用户名和密码登录后直接提示修改。2、本地浏览器访问输入账号密码并修改密码3、设置发送配置文件发送测试邮件检验设置是否正确。收件人能够成功收到4、导入电子邮件模板将下载下来的eml后缀的文件使用以文本形式复制进下边的对话框保存后邮件模板就完成了设置。5、填写发送模板信封发送者(寄件人)想要伪造谁发送就填谁为发件人。最后点击保存模板6、修改登录页面修改登录页面就是加入想要跳转的页面这个页面可以制作成钓鱼页面。点击import site添加想要跳转的页面比如钓鱼网站7、配置用户和组配置用户和组就相当于邮件发送的目标。8、发送伪造邮件选择战役(Campaigns)、新战役(new Campaigns)、选择好相应的模板、邮件钓鱼的网址、目标组之后点击发送伪造邮件的效果在邮件的抬头中仍然会标记转发的地址那是一个真实的邮箱地址。发件人是假冒的。当伪造的邮件内容中有链接的情况下点击后会自动跳转到钓鱼链接此处的伪造邮件并没有添加链接。收件人如果有安全意识依然会看到发件人信息上方的”由XXX转发“的信息从而导致邮件的可信度不高如何做到更高的可信度那么最好的方式就是搭建自己的邮件服务器同时注册一个与伪造域名高度类似的域名这样子就可以将钓鱼邮件伪造得以假乱真9、搭建邮件服务器使用以上的方式第三方邮件系统进行SPF突破或者群发钓鱼邮件时很容易被平台检测和封禁邮箱且收件人信息上方会有”由XXX转发“的信息。搭建自己的邮件服务器就可以解决这些问题不被封禁邮箱账号可以指定转发域名信息,使邮件来源看起来更真实。9.1 搭建邮件服务器环境需求购买云服务器linux(Centos7以上版本)和域名购买域名目的就是伪造发件人信息下方的”由XXX转发“的信息注册一个和伪造的目标高度相似的域名比如用0代替o用1代替l用vv代替w等等这就需要发挥你的想象来寻找相似的域名。在了解怎么注册一个这样的域名前需要先了解什么是国际域名​ **国际化域名IDN**是指全部或部分使用特殊的文字或字母组成的互联网域名如使用阿拉伯语、中文、斯拉夫语、泰米尔语等。这些文字系统多字节万国码编译而成。国际化域名使用域名代码Punycode编写并以美国信息交换标准代码ASCII字符串储存在域名系统中。域名系统的建立为了将网络搜索用语变成更加通俗易懂的语言。简单来说就是世界上的语言太多了如果每个国家或者地区都用自己的语言来注册域名的话会非常混乱甚至无法交流。所以采用通用的域名注册标准punycode在线转换工具http://tools.jb51.net/punycode/index.phpUniCode编码表https://www.cnblogs.com/csguo/p/7401874.html9.2 搭建邮件服务器的步骤因为搭建邮件服务器是要花钱的而本人经济拮据。就不在此演示。搭建的方法千千万这里就贴一个意思一下。咱学网安不是用来骗人的http://doc.ewomail.com/docs/ewomail/jianjie在云服务器上面搭建完邮件服务之后利用注册好的域名可以达到很好的伪造效果。比如要伪造aliyun的官方邮件那么就提前注册好类似于aliyun的域名然后利用搭建好的邮件服务器指定域名进行转发。这样伪造邮件看起来就特别真实了。五、邮件钓鱼配合网页钓鱼网页钓鱼需要一个仿真度特别高的自建网站。这里主要是针对如何建设一个仿真网站来描述。1、手工下载制作钓鱼页面最简单的方法就是将需要伪造的网页鼠标右键”另存为“整体扒下来但是这样子扒下来的源代码有些缺陷如果网站做了在线请求那么会导致扒下来的网页显示缺失不完整。扒下来的网站还需要修改源代码懂开发懂代码不然无法劫持用户输入的账号密码信息。此方法不适用不懂开发的人2、工具 setoolkit2.1 工具介绍​ setoolkitSocial-Engineer Toolkit简称SET是一款开源的社会工程学渗透测试工具主要用于模拟真实世界中的社会工程学攻击以评估组织或个人的安全防御能力。它由David Kennedy开发采用Python编写广泛应用于安全研究、渗透测试和员工安全意识培训中。该工具集成了多种攻击模块支持在Kali Linux等系统上运行常用于合法授权的红队演练和安全测试场景。核心功能与应用场景‌**钓鱼网站攻击Website Attack Vectors**‌setoolkit可快速克隆真实网站如银行、社交媒体登录页生成高度仿真的虚假页面用于捕获用户输入的账号密码等敏感信息。‌**鱼叉式钓鱼邮件Spear-Phishing Attack**‌支持批量发送伪装邮件可携带恶意附件如Word、PDF或诱导链接常用于模拟企业级钓鱼攻击测试。‌**恶意介质生成Infectious Media Generator**‌可创建带有自动运行功能的USB设备当目标插入U盘时触发Payload实现本地系统入侵。‌**载荷与监听器生成Payload Listener**‌集成Metasploit框架可生成反向Shell Payload并建立监听以获取目标系统控制权。‌其他攻击向量‌包括二维码钓鱼、短信伪造SMS Spoofing、PowerShell注入等多种社会工程学攻击方式。2.2 部署 setoolkit# 安装sudoaptupdatesudoaptinstallset# 启动setoolkit# 或者使用完整路径sudo/usr/share/set/setoolkit# 打开并编辑配置文件sudovim/etc/setoolkit/config.py2.3 使用实例启动setoolkit选择工具攻击类型社会工程攻击Social-Engineering Attacks网站攻击向量Website Attack Vectors凭证采集器克隆站点 Credential Harvester Attack Method站点克隆器 Site Cloner选择建立站点的IP地址因为是使用的靶场所以这里是Kali的IP在克隆网站前要确保kali的80端口没有被占用# 查看目前运行的端口netstat-anpt# 如果有程序占用80端口将其kill掉killPID准备就绪开始克隆此处克隆的站点链接https://passport.jd.com/new/login.aspx物理机使用Kali的IP登录克隆的网站测试输入账号密码不会得到任何反应。网站的页面有反爬技术。重新选择一个网站做实验https://www.biquw.net/user/auth/login.html在页面中随便输入用户名和密码来测试3、工具 Goblin项目下载地址https://github.com/xiecat/goblin/releases3.1 工具介绍​ Goblin哥布林是一款专为红蓝对抗场景设计的仿真钓鱼系统依托反向代理技术能够在不干扰用户正常操作的前提下无感知地获取用户信息或诱导用户执行特定操作同时支持通过代理方式隐藏真实服务端IP。该工具内置丰富插件仅需简单配置就能快速调整网页内容大幅降低钓鱼环境部署难度有效提升攻防演练的真实性与效率。3.2 部署 Goblin3.2.1 Docker环境推荐新手若选择Docker一键启动方式需提前在本地安装Docker环境。您可根据自身操作系统前往Docker官方网站下载对应版本的安装包按照指引完成安装与配置。安装完成后打开终端执行docker --version命令若能正常显示版本信息则说明Docker环境安装成功。部署方法在终端依次执行以下命令拉取Goblin镜像docker pull becivells/goblin启动Goblin服务docker run -it --rm -v $(pwd):/goblin/ -p 8084:8084 becivells/goblin启动成功后在浏览器中访问http://127.0.0.1:8084即可看到默认代理的百度页面此时所有访问流量都将通过Goblin进行处理。3.2.2 二进制文件部署环境适合定制化需求Go语言环境Goblin基于Go语言开发需确保本地安装Go 1.16及以上版本。您可通过go version命令检查当前Go版本若版本过低可前往Go语言官方网站下载最新版本进行安装。源码获取通过Git命令克隆Goblin项目源码在终端执行git clone https://gitcode.com/gh_mirrors/go/goblin将项目源码下载至本地指定目录。部署方法编译源码进入下载好的Goblin项目目录执行make build命令进行编译。编译完成后在cmd/goblin目录下可找到生成的可执行文件。修改配置文件项目根目录下的goblin.yaml为核心配置文件您可根据实际需求修改相关参数。关键参数说明如下Listen监听地址默认值为0.0.0.0表示监听所有可用网络接口。ProxyPass目标代理网址可替换为任意您想要模拟的网站如https://www.jd.com。Plugin启用的插件名称如demo、inject等不同插件具备不同功能可满足多样化钓鱼场景需求^。启动服务在终端执行./goblin -config goblin.yaml命令启动Goblin服务。3.3 使用实例此处使用Windows版的 Goblin 。双击就能启动。想要模拟哪个网站直接修改goblin.yaml文件即可模拟网站作用 得看网页钓鱼的目的和你诱导目标操作的方法如果你是想获取目标的账号密码那么肯定得模拟登录页面如果你想让别人下载你精心构造的木马那么你得模拟正规下载的网站4、小结​ 邮件钓鱼作为社会工程学与APT的重要手段想要提高成功率肯定要不断揣测人性 涉及到文件下载的钓鱼邮件肯定是与后门木马有关涉及到登录页面的钓鱼邮件肯定与敏感账号密码有关…钓鱼配合网页钓鱼往往能够收获意想不到的效果真正的钓鱼高手制作出来的钓鱼邮件几乎可以以假乱真六、邮件钓鱼实战实战中需要自己搭建好在线的云服务器。此处在虚拟机的 phpstudy 里面搭建钓鱼网站。思路创建一个fllash网站并在下载处添加CS后门链接。受害方通过钓鱼邮件点开克隆的网站并下载后门程序。1、创建钓鱼网站将真实网站https://www.flash.cn/页面下载下来。配置到PHP study中的flash文件夹文件夹的名字可以随便起。登录查看效果2、生成后门病毒下载真实的下载程序flashplayer_install_cn_fc.exe将通过CS生成的后门病毒进行伪装学名加壳使用软件Restorator 2018打开 Restorator 资源修改器将源文件和木马文件放进入。将源文件的一些资源拖到木马文件中。保存修改后的木马到 flash文件夹内为了提高可信度和迷惑性可以将木马的名字改成官方下载的文件的名字这里为了区分就不改了3、修改伪造网页的下载地址测试效果此处是物理机进行的测试且没有做免杀处理会有警告提示但是文件时可以下载的。所以忽略免杀网站制作成功4、制作钓鱼邮件打开 gophish工具 。配置发送邮件的邮箱和域名此处不做修改。添加邮件模板制作邮件的python代码如下importemailfromemail.mime.textimportMIMETextfromemail.mime.multipartimportMIMEMultipartdefcreate_eml_file():# 创建邮件对象msgMIMEMultipart()设置邮件头部信息# 仿造的发送方邮件msg[From]security-updateinternal-network.local# 真实的接收方邮件msg[To]admincompany-example.localmsg[Subject]忽悠局安全更新通知# 设置邮件正文内容body为保证公司服务器稳定性和客户端安全性需要更新插件。\n请点击连接https://www.taobao.com 并进行插件更新msg.attach(MIMEText(body,plain,utf-8))# 写入eml文件withopen(notification.eml,w,encodingutf-8)asf:f.write(msg.as_string())print(EML文件已成功创建为 notification.eml)if__name____main__:create_eml_file()5、发送邮件创建好的notification.eml通过 gophish 工具进行发送。因为此处的连接都是内网的ip所以邮件服务器会对邮件进行拦截。此处无法完整完成实例。如果有个广告邮件之类的再此基础上进行二次加工兴许可以实现但是苦于没有广告邮件。无法继续实验下去。道理就是这么个道理。当受害方点击连接下载链接并运行后会直接在CS的终端上线。七、其它邮件钓鱼方式1、CS实现邮件钓鱼2、文件捆绑2.1 概念​ 文件捆绑是一种将两个或多个文件通常是可执行程序合并成一个文件的技术执行时会自动释放并运行所有被捆绑的内容。这种技术常被用于合法的软件分发但也广泛被恶意攻击者用来隐藏木马、病毒等恶意代码实现隐蔽渗透。2.2 文件捆绑的核心原理文件捆绑的本质是“伪装释放”通过将正常程序作为外衣包裹恶意载荷在用户无感的情况下触发双重执行。主要实现方式包括‌文件追加式捆绑‌将恶意程序直接附加到正常可执行文件末尾。当用户运行该文件时捆绑器先启动主程序以迷惑用户再在后台释放并执行隐藏的恶意代码。这种方式技术门槛低但容易被安全工具检测到异常文件结构。‌资源嵌入式捆绑‌利用 Windows 系统的资源机制将恶意程序作为“资源”写入宿主程序的资源区段中。运行时通过代码提取资源到临时目录并加载执行。这种方式更隐蔽常用于高级持续性威胁APT攻击中。‌内存注入式捆绑‌不单独释放文件而是将恶意代码直接注入到正常进程的内存空间中运行避免写入磁盘极大提升了反检测能力。这类技术常结合漏洞利用如 Office 宏病毒或 DLL 劫持。‌自解压压缩包伪装‌使用 WinRAR、7-Zip 等工具创建自解压可执行文件并设置自动运行参数。攻击者可将木马与正常软件打包诱导用户点击后同时安装“正版软件”和后门程序。2.3 应用实例免费图标下载https://mp.weixin.qq.com/s/QDNIOvkWDROkbsAiNZjshQ此处以 winrar 软件为例。具体思路创建自解压格式压缩文件 设置提取后运行 设置中添加解压缩路径 运行模式选择全部隐藏 更新选择覆盖所有攻击中常用解压缩路径C:\Program Files 等价路径%ProgramFiles%C:\Program Files (x86) 等价路径%ProgramFiles(86)%C:\Program Files (x86)\Microsoft\Temp 等价路径%ProgramFiles(86)%\Microsoft\TempC:\Windows\SystemTemp 等价路径%SystemRoot%\SystemTempC:\ProgramData\Microsoft\Search\Data\Temp 等价路径%ProgramData%\Microsoft\Search\Data\Temp具体步骤比如将 calc.exe 进行压缩并伪装成微信程序。选择添加压缩文件选择创建自解压格式压缩文件或直接将文件后缀改为exe高级 -- 自解压选项设置解压缩路径,必须为绝对路径不能用全局变量代替切换到“设置”选项卡在解压后运行下面的文本框中输入解压后运行的文件文件名后缀不可省略切换到 “模式” 中选择 “全部隐藏”切换到 “更新” 选择 “覆盖所有文件”切换到 “文本和图标”设置 “从文件加载自解压文件图标” 。图标可从网站下载或资源修改器获取这里使用Everything软件搜索.ico获取微信图标。自解压文件创建完成后双击文件就可以自动解压并打开文件了然后计算器程序就打开了3、白加黑攻击​ “白加黑”攻击并非网络安全领域中的标准术语而是对一类特定攻击模式的非正式统称。该名称源于攻击行为中“表面合规”白色与“隐蔽威胁”黑色并存的核心特征——攻击者利用操作系统或企业环境中广泛信任的合法工具如系统自带命令行工具、服务进程、协议栈执行恶意操作从而在不触发传统安全机制的前提下实现持久化渗透与横向移动。说人话白加黑攻击技术其实就是无文件落地攻击。前边三阶笔记中横向移动的内容里有初步涉及在本阶段的免杀技术中会详细讲述。此外还有一篇本章的补充内容详细介绍了 白加黑攻击技术此处不再赘述八、邮件钓鱼的防范慎重点击可疑链接如今很多钓鱼邮件为了看起来合法会进行非常精细的伪装。如果其中包含链接这些链接可能会将人们定向到与原要打开的网站完全相同的界面从而实现网络钓鱼。那么点击链接前将鼠标悬停在它上面以查看它们是否将您引导到正确的网站。注意附件内容网络钓鱼攻击也会伪装成人们常见的文档或电子邮件 - 包括银行记录密码更改请求用户已订阅的电子邮件甚至是来自IT部门的电子邮件。确保在下载任何附件尤其是未经请求的电子邮件之前进行仔细检查发件人的电子邮件地址并留意高风险附件文件。注意电子邮件域注意发件人的电子邮件地址。如果电子邮件地址似乎不是官方提供的真实账户或者似乎与之前收到的电子邮件不一致则可能是一个危险信号。应仔细观察电子邮件域是不是合法的。小心自动下载某些邮件打开时无论在何处单击都会重新定向到流氓网站或虚假网页 因为整个电子邮件就是一个巨大的超链接如果单击电子邮件中的任何位置它将自动下载垃圾邮件附件或打开不安全的网站。注意引导战术中奖或领取免费礼品等是钓鱼邮件常见策略。黑客试图通过提醒您等待的时间敏感操作来利用您的焦虑或担忧并最终让您提供敏感信息。诈骗者一般会将银行或信用卡提供商用作网络钓鱼电子邮件的掩护。不要对情绪触发做出应激反应用户需要对触发焦虑的电子邮件保持高度警惕和冷静不要急于采取行动。如果一封电子邮件看起来很奇怪并且它正在促使你做某事或增加你的血压那么它很可能是一封网络钓鱼电子邮件。制定高管紧急请求的处置政策和程序网络钓鱼者经常会伪造高级管理层的“紧急请求”邮件或语音通话来诱使员工忙中出错为了解决这个问题企业应该制定明确的应急程序。比如培训员工收到主管发来的电子邮件要求你输入公司网站后端的密码请不要急于操作先使用企业内部协作工具或者拿起电话给你的主管打电话询问一下。还可以在日常工作中养成良好的习惯公司领导层应停止通过电子邮件附件发送Office文档而是将文档放在适当的文件存储库中并将其传达给员工。链接和附件是网络钓鱼攻击的主要工具最大限度地减少其合法使用增加暴露网络钓鱼攻击的机会。使用合法电子邮件利用技术手段将未从公司域名发送的电子邮件标记为‘外部’对员工定期宣传培训实施钓鱼测试。子邮件不一致则可能是一个危险信号。应仔细观察电子邮件域是不是合法的。小心自动下载某些邮件打开时无论在何处单击都会重新定向到流氓网站或虚假网页 因为整个电子邮件就是一个巨大的超链接如果单击电子邮件中的任何位置它将自动下载垃圾邮件附件或打开不安全的网站。注意引导战术中奖或领取免费礼品等是钓鱼邮件常见策略。黑客试图通过提醒您等待的时间敏感操作来利用您的焦虑或担忧并最终让您提供敏感信息。诈骗者一般会将银行或信用卡提供商用作网络钓鱼电子邮件的掩护。不要对情绪触发做出应激反应用户需要对触发焦虑的电子邮件保持高度警惕和冷静不要急于采取行动。如果一封电子邮件看起来很奇怪并且它正在促使你做某事或增加你的血压那么它很可能是一封网络钓鱼电子邮件。制定高管紧急请求的处置政策和程序网络钓鱼者经常会伪造高级管理层的“紧急请求”邮件或语音通话来诱使员工忙中出错为了解决这个问题企业应该制定明确的应急程序。比如培训员工收到主管发来的电子邮件要求你输入公司网站后端的密码请不要急于操作先使用企业内部协作工具或者拿起电话给你的主管打电话询问一下。还可以在日常工作中养成良好的习惯公司领导层应停止通过电子邮件附件发送Office文档而是将文档放在适当的文件存储库中并将其传达给员工。链接和附件是网络钓鱼攻击的主要工具最大限度地减少其合法使用增加暴露网络钓鱼攻击的机会。使用合法电子邮件利用技术手段将未从公司域名发送的电子邮件标记为‘外部’对员工定期宣传培训实施钓鱼测试。九、文章总结与心得1、文章总结本文围绕社会工程学与邮件钓鱼展开系统阐述了相关攻击原理、技术手段及防范策略主要内容包括社会工程学基础定义利用人性弱点信任、恐惧等进行心理操纵攻击“人”这一薄弱环节。常见类型网络钓鱼、鱼叉式钓鱼、诱饵攻击、尾随伪装等其中钓鱼攻击通过伪造可信实体诱导用户泄露信息或执行操作。攻击链信息收集→确定目标→伪造身份→实施攻击→达成目标→隐蔽痕迹。APT攻击与邮件钓鱼APT高级持续性威胁长期潜伏、隐蔽性强常用水坑攻击、零日漏洞等手段。邮件钓鱼核心技术SPF协议通过DNS记录验证发件人合法性未配置时易被伪造。伪造手段无SPF时直接伪造如Kali的swaks工具有SPF时通过“软刚”修改域名细节或“硬刚”邮件转发突破绕过检测。钓鱼工具与实战邮件伪造工具Gophish支持模板配置、钓鱼页面跳转及发送管理但需注意“转发地址”暴露风险。网页钓鱼工具SEToolkit克隆网站捕获凭证Goblin通过反向代理实现无感知钓鱼。实战案例结合钓鱼网站与后门病毒通过邮件诱导下载恶意程序实现攻击目标。防范措施技术层面启用SPF、DKIM等邮件验证机制部署EDR、邮件过滤工具。管理层面加强员工安全培训如模拟钓鱼演练制定紧急请求处置流程限制敏感权限。用户层面警惕可疑链接/附件、核实发件人域名、避免情绪驱动操作。心得攻防对抗的核心是“人性博弈”社会工程学攻击的本质是利用人的心理弱点而非技术漏洞。例如“鲸鱼钓鱼”针对高管的紧急财务指令、诱饵攻击利用好奇心均反映攻击者对目标心理的精准把握。防范需从“技术意识”双管齐下尤其需提升员工对细节的敏感度如识别域名中的字符替换“qq.com.cn”伪装“qq.com”。技术手段的对抗升级从简单的邮件伪造到APT攻击的“转发突破”再到Goblin的反向代理技术钓鱼手段日趋隐蔽。例如通过自建邮件服务器和相似域名如“a1iyun.com”伪装“aliyun.com”可大幅提升可信度。防御方需持续更新检测规则结合行为分析如异常登录、文件下载识别潜在威胁。实战中的“细节决定成败”钓鱼邮件的成功率依赖细节伪造发件人名称与真实机构一致、邮件内容符合目标日常场景如“工资单更新”、钓鱼页面与原网站高度仿真1页。反之防御者也需关注细节悬停链接查看真实URL、验证发件人域名合法性、对“紧急请求”进行二次确认。安全意识是第一道防线文档多次强调“员工培训”的重要性例如通过模拟钓鱼演练暴露薄弱环节2页。即使技术防护再完善若用户轻易点击恶意链接或下载附件仍会导致攻击成功。因此企业需将安全意识培养常态化让员工成为防御体系的一部分。