XSL脚本处理: 文件类型伪装执行

文件类型伪装执行（File Type Masquerade Execution）是通过篡改XSL文件扩展名及元数据，诱导系统将其识别为无害文件类型的技术。攻击者将恶意XSL文件重命名为.jpg、.docx等常见格式，利用Windows文件关联机制的漏洞触发解析。通过构造复合文件格式（如将XSL内容嵌入图片文件注释区），欺骗用户及安全软件将其归类为非可执行文件，从而规避基于文件扩展名的防护策略。

该技术的匿迹核心在于利用系统与用户对文件类型的认知差异。攻击者通过修改文件扩展名、伪造文件签名头（Magic Number）以及注入垃圾填充数据，使恶意XSL文件在资源管理器中显示为图像或文档文件。当使用msxsl.exe或WMIC工具配合/FORMAT参数指定伪装文件时，系统仍能正确解析内嵌的XSL代码。防御方通常依赖文件扩展名过滤或内容类型检测，而该技术通过格式伪装突破这两层防护：扩展名变更绕过黑名单过滤，复合文件结构规避内容深度检测，最终实现在不触发告警的情况下完成恶意脚本加载。