翻译自：http://www.rvrsh3ll.net/blog/informational/bypassing-windows-attachment-manager/

绕过Windows附件管理器

• 从Windows XP Service Pack 2开始，Microsoft推出了“Windows附件管理器”。  此功能将“阻止”某些文件类型在通过Internet下载后执行。  “如果附件位于高风险文件类型列表中，并且来自受限区域，Windows将阻止用户访问该文件。  如果文件来自Internet区域，则Windows将在访问该文件之前提示用户。“从互联网上下载文件时,这是一个高风险的文件类型“,窗口创建另一个数据流来识别文件和应用块。

  虽然这对最终用户来说是一个很好的安全功能，但是在尝试以令人反感的安全参与方式提供某些网络钓鱼有效载荷时，这显然是一个问题。  我决定对Windows Attachment Manager功能可能阻止哪些类型的有效载荷进行一些研究。

  从开始，我想找到一个文件类型的列表，将在下载时被阻止。  微软足够为我们提供此列表 https://support.microsoft.com/en-us/help/883260/information-about-the-attachment-manager-in-microsoft-windows

  类型是：

.ade，.adp，.app，.asp，.bas，.bat，.cer，.chm，.cmd，.com，.cpl，.crt，.csh，.exe，.fxp，.hlp，.inf，.ins，.isp，.its，.js，.jse，.ksh，.lnk，.mad，.maf，.mag，.mam，.maq，.mar，.mas，.mat。mau，.mav，.maw，.mda，.mdb，.mde，.mdt，.mdw，.mdz，.msc，.msi，.msp，.mst，.ops，.pcd，.pif，.prg，.pst，.reg，.scf，.scr，.sct，.shb，.shs，.tmp，.url，.vb，.vbe，.vbs，.vsmacros，.vss，.vst，.vsw ，.ws，.wsc，.wsf，.wsh

  我注意到有几个文件类型不被阻止，并开始怀疑我们是否可以利用这些非限制的文件类型来执行被阻止的类型。

  我决定开始使用内置的makecab.exe命令，以“living off the land”的形势来压缩我的有效载荷。  对于有效载荷，我使用 @ enigma0x3 的 Create-LNK 创建了一个恶意的.LNK文件 。  我还从Nishang 项目 中使用 Out-CHM 创建了一个恶意的.CHM文件 。  这些有效内容在Windows附件管理器下载后通常会被阻止。  接下来，我使用makecab.exe压缩这些有效载荷，并托管在我的Cobalt Strike服务器上。

  现在我的有效载荷被托管并准备下载。  我使用Windows 10 VM和Chrome浏览器来下载和解压缩每个文件。  右键单击每个下载的有效载荷并查看属性，我们可以看到.chm仍然标记为“被阻止”，并且.lnk不是！

  以下是与sysinternals工具streams64.exe显示的备用数据流（ADS）的区别：

  如果我执行每个有效载荷，那么在.lnk文件完全执行的时候，应该阻止.chm回到Cobalt Strike服务器。

  我 不太确定为什么Windows附件管理器在不同的文件类型之间是不一致的。  在这方面肯定有更多的研究要做，但我希望这篇文章能够为维权者和进攻性测试者带来一点意识。

  * https：//support.microsoft.com/en-us/help/883260/information-about-the-attachment-manager-in-microsoft-windows