伪装文件类型

对手可能会通过更改有效负载的格式，包括文件的签名、扩展名和内容，将恶意负载伪装为合法文件。各种文件类型都有一个典型的标准格式，包括它们的编码和组织方式。例如，文件的签名（也称为头或魔术字节）是文件的开始字节，通常用于识别文件的类型。例如，JPEG文件的头是0xFF 0xD8，文件扩展名是.JPE、.JPEG或.JPG。 对手可能会编辑头的十六进制代码和/或恶意负载的文件扩展名，以绕过文件验证检查和/或输入清理。这种行为通常在传输（例如，工具传输）和存储（例如，上传恶意软件）负载文件时使用，以便对手可以移动他们的恶意软件而不会触发检测。 常见的非可执行文件类型和扩展名，例如文本文件（.txt）和图像文件（.jpg、.gif等）通常被视为无害。基于此，对手可能会使用文件扩展名来伪装恶意软件，例如将PHP后门代码命名为test.gif。用户可能不知道文件是恶意的，因为它看起来无害且文件扩展名无害。 多态文件，即具有多种不同文件类型并根据将执行它们的应用程序而不同功能的文件，也可能用于伪装恶意软件和功能。(引用: polygot_icedID)