木马逆名欺骗：利用unicode控制符RLO

逆名欺骗木马在文件名中插入控RLO制符，来使文件名逆序显示，达到欺骗的目的。

首先Windows系统在解析文件名时，当遇到unicode控制符时，会改变文件名的显示方式。利用这一特性，可以将exe,scr,com等可执行文件伪装成doc,jpg,txt,ppt等。

例如我创建一个bat文件，命名为txt.bat。然后点击重命名，在文件名输入框中首先右键点击“插入unicode控制字符”，插入一个RLO（从右到左显示），然后输入txt.bat，回车，此时文件名已经显示为tab.txt。将这个文件发给其他用户，由于文件后缀为txt，一般用户会当做文本文件放心的打开，此时bat文件已经执行。

这个方法非常简单，但思路却相当巧妙，效果也相当实用。





这种方式只能骗骗用户，骗不了杀毒软件。



左到右标记 (LRM)

操作时很象从左到右字符，只是它不显示。LRM 没有任何其它语义效果。

从右到左标记 (RLM)

操作时很象从右到左字符，只是它不显示。RLM 没有任何其它语义效果。

零宽度联接器 (ZWJ)

防止连续字符在输出上联接。

零宽度非联接器 (ZWNJ)

在两个字符间添加非联接器，防止这两个字符在映射时连接草率。

启动从左到右的嵌套 (LRE)

表示将从左到右嵌套一些文本。例如， 阿拉伯句子中间的英文引用语可被标记为从左到右的嵌套文本。（LRE影响单词顺序，不影响字符顺序。）

启动从右到左的嵌套 (RLE)

表示将从右到左嵌套一些文本。例如，英语引用语中间的希伯来短语可被标记为从右到左的嵌套文本。（RLE影响单词顺序，不影响字符顺序。）



启动从左到右的优先 (LRO)

当需要用于特殊情况（例如，用于部件编号）时，优先于双向字符类型。LRO 强制字符成为从左到右的字符。

启动从右到左的优先 (RLO)

当需要用于特殊情况（例如，用于部件编号）时，优先于双向字符类型。RLO 强制字符成为从右到左的字符。

Pop 直接格式化 (PDF)

终止上一个显式代码的效果（嵌套或优先），并将双向状态恢复到在上一个 LRE、RLE、RLO 或LRO
控制字符之前的状态。

国家（地区）数字形状替代 (NADS)

使用国家（地区）数字形状显示 U+0030-U+0039（ASCII数字）。国家（地区）数字形状由当前用户的区域设置决定。

名义（欧洲）数字形状 (NODS)

使用名义数字形状显示 U+0030-U+0039（ASCII数字）。名义数字形状是欧洲数字。

激活对称交换 (ASS)

表示是否应该将成对的字符名中的 LEFT 或 RIGHT 分别解释为有意义的打开或关闭。（默认状态是激活。）

禁止对称交换 (ISS)

关闭象圆括号这样的字符的对称交换，这样其左边和右边能继续表明向左和向右的朝向，与打开对称交换时的打开和关闭状态相反。

激活阿拉伯成形 (AAFS)

控制阿拉伯兼容性字符的成形行为。在显示过程中，某些字母形式可能以草率的连接或者连字狐线的方式联接起来。成形选择器代码表示用于获得显示效果的字符形状确定（glyph选择）过程是处于激活还是禁止状态。（默认状态为禁止。）

禁止阿拉伯成形 (IAFS)

禁止字符成形确定过程， 这样字符不会根据位置而成形。

记录分隔符（块分隔符） (RS)

在每个行分隔符后开始新的行。

US Unit Separator (Segment Separator)

每个段分隔符后开始新的段。

来自：
http://dragoon666.blog.163.com/blog/static/107009194201092945857356/ http://blog.sina.com.cn/s/blog_593d2b950100hwl1.html