很久没有写博客了，不太容易安静下来，做一些简单的总结。希望2016年可以多记录一些零散的想法。

今天简单聊一下 RTLO的小问题。

RTLO是一个8238的Unicode字符，它的作用是让紧跟在后面的字符串倒序： http://www.codetable.net/decimal/8238

可以用来欺骗用户打开可执行文件（钓鱼攻击），或者欺骗后端应用的检查机制。

例如，我这里有一个可执行文件，文件名是 

u'aaaa\u202eFDP.exe'

  的文件，202e是

>> hex(8238)
'0x202e'

那么windows用户在资源管理器中看到的文件名将显示为 aaaaexe.PDF，如果这个exe的图标正好PDF的图标，可能会欺骗用户点击执行。

我示例将cmd.exe重命名为

u'aaaa\u202eFDP.exe'

 ，python中执行

>> os.rename('cmd.exe', u'aaaa\u202eFDP.exe')

用户在资源管理器中看到的效果就是aaaaexe.PDF（我这里特意大写了PDF）：

不过，可以注意到，文档类型那一栏，依然是“应用程序”。而且一般的安全工具也能拦截这种欺骗攻击。

本文参考链接： https://blog.malwarebytes.org/online-security/2014/01/the-rtlo-method/