论坛
BBS
空间测绘
发表
发布文章
提问答疑
搜索
您还未登录
登录后即可体验更多功能
立即登录
我的收藏
提问答疑
我要投稿
IOT
[13577] 2018-12-26_一个Hancitor恶意邮件活动Word文档样本的分析
文档创建者:
s7ckTeam
浏览次数:
4
最后更新:
2025-01-18
IOT
4 人阅读
|
0 人回复
s7ckTeam
s7ckTeam
当前离线
积分
-54
6万
主题
-6万
回帖
-54
积分
管理员
积分
-54
发消息
2018-12-26_一个Hancitor恶意邮件活动Word文档样本的分析
一
个
H
a
n
c
i
t
o
r
恶
意
邮
件
活
动
W
o
r
d
文
档
样
本
的
分
析
c
g
f
9
9
F
r
e
e
B
u
f
2
0
1
8
-
1
2
-
2
6
一
、
基
本
情
况
一
、
基
本
情
况
最
近
,
基
于
最
近
,
基
于
w
o
r
d
文
档
的
电
子
邮
件
攻
击
愈
发
猛
烈
。
邮
箱
收
到
一
封
电
子
邮
件
,
包
含
如
下
的
文
档
的
电
子
邮
件
攻
击
愈
发
猛
烈
。
邮
箱
收
到
一
封
电
子
邮
件
,
包
含
如
下
的
W
O
R
D
附
件
。
文
档
打
开
附
件
。
文
档
打
开
后
,
显
示
如
下
图
。
内
容
就
是
一
幅
图
片
,
提
示
要
查
看
具
体
的
传
真
内
容
要
求
用
户
启
动
宏
。
不
言
而
喻
,
这
是
一
个
带
有
后
,
显
示
如
下
图
。
内
容
就
是
一
幅
图
片
,
提
示
要
查
看
具
体
的
传
真
内
容
要
求
用
户
启
动
宏
。
不
言
而
喻
,
这
是
一
个
带
有
宏
的
宏
的
w
o
r
d
文
档
。
文
档
。
点
击
“
启
用
内
容
”
后
,
文
档
显
示
为
空
文
档
,
并
且
一
两
秒
内
w
o
r
d
就
退
出
了
。
重
新
打
开
该
文
档
,
发
现
显
示
的
内
容
就
是
一
个
空
文
档
,
上
面
的
传
真
图
片
也
没
有
了
。
文
档
打
开
后
,
进
程
监
控
工
具
竟
然
没
有
发
现
有
恶
意
进
程
执
行
。
W
o
r
d
文
档
前
后
的
对
比
如
下
所
所
示
。
很
明
显
,
恶
意
文
档
打
开
后
使
用
了
一
个
干
净
的
文
档
替
换
原
来
的
文
档
内
容
,
一
是
使
恶
意
文
档
不
重
复
进
行
感
染
,
二
是
更
好
的
隐
蔽
保
护
自
身
。
与
“
分
析
一
个
用
于
传
播
H
a
n
c
i
t
o
r
恶
意
软
件
的
W
o
r
d
文
档
(
第
一
部
分
)
”
【
h
t
t
p
s
:
/
/
w
w
w
.
f
r
e
e
b
u
f
.
c
o
m
/
a
r
t
i
c
l
e
s
/
s
y
s
t
e
m
/
1
8
1
0
2
3
.
h
t
m
l
】
一
文
中
描
述
的
现
象
很
相
似
。
该
文
是
一
篇
翻
译
文
章
,
原
文
来
自
“
P
o
s
t
0
x
1
6
:
H
a
n
c
i
t
o
r
M
a
l
S
p
a
m
–
S
t
a
g
e
1
”
【
h
t
t
p
s
:
/
/
0
f
f
s
e
t
.
w
o
r
d
p
r
e
s
s
.
c
o
m
/
2
0
1
8
/
0
8
/
1
2
/
p
o
s
t
-
0
x
1
6
-
h
a
n
c
i
t
o
r
-
s
t
a
g
e
-
1
/
】
,
另
外
第
二
部
分
的
深
入
分
析
可
见
“
P
o
s
t
0
x
1
6
.
2
:
H
a
n
c
i
t
o
r
S
t
a
g
e
2
”
一
文
【
h
t
t
p
s
:
/
/
0
f
f
s
e
t
.
w
o
r
d
p
r
e
s
s
.
c
o
m
/
2
0
1
8
/
1
0
/
1
4
/
p
o
s
t
-
0
x
1
6
-
h
a
n
c
i
t
o
r
-
s
t
a
g
e
-
2
/
】
。
经
过
对
宏
文
档
和
P
E
负
载
的
分
析
,
发
现
本
次
样
本
包
含
的
宏
代
码
与
H
a
n
c
i
t
o
r
文
档
宏
代
码
有
较
大
的
变
化
,
但
是
通
过
对
内
含
主
要
P
E
负
载
文
件
的
分
析
,
发
现
二
者
基
本
一
致
,
比
如
I
D
A
反
汇
编
后
形
式
、
代
码
加
密
执
行
、
网
络
通
信
协
议
(
比
如
都
是
访
问
诸
如
h
x
x
p
:
/
/
x
x
x
.
x
x
x
/
4
/
f
o
r
u
m
.
p
h
p
)
等
,
主
要
是
C
2
域
名
不
同
,
此
外
本
次
P
E
文
件
增
加
了
U
A
C
权
限
申
请
。
因
此
,
可
基
本
判
定
本
次
恶
意
邮
件
攻
击
属
于
H
a
n
c
i
t
o
r
恶
意
邮
件
攻
击
行
动
。
二
、
恶
意
宏
分
析
二
、
恶
意
宏
分
析
打
开
后
,
发
现
宏
包
含
了
两
个
窗
体
对
象
U
s
e
r
F
o
r
m
1
和
U
s
e
r
F
o
r
m
2
,
并
且
包
含
的
内
容
都
是
“
4
d
5
a
9
0
0
0
”
开
头
的
字
符
串
,
很
明
显
这
是
两
个
P
E
文
件
。
利
用
w
i
n
h
e
x
在
文
档
直
接
搜
索
“
4
d
5
a
”
字
符
串
,
可
以
发
现
在
文
档
位
置
0
x
1
d
8
1
c
和
0
x
5
6
0
1
c
处
包
含
了
两
个
P
E
文
件
,
如
下
图
所
示
。
1
、
、
D
o
c
u
m
e
n
t
_
O
p
e
n
函
数
函
数
利
用
“
D
o
c
u
m
e
n
t
_
O
p
e
n
”
函
数
实
现
在
文
档
打
开
的
时
候
运
行
宏
,
函
数
的
内
容
如
下
托
所
示
。
首
先
判
断
是
否
存
在
“
%
a
p
p
d
a
t
a
”
目
录
下
是
否
存
在
l
n
k
目
录
,
如
果
已
经
存
在
直
接
退
出
(
已
经
感
染
过
)
。
否
则
的
话
,
通
过
调
用
H
e
x
T
o
S
t
r
i
n
g
函
数
分
别
释
放
U
s
e
r
F
o
r
m
1
和
U
s
e
r
F
o
r
m
2
的
内
容
至
%
a
p
p
d
a
t
a
%
目
录
下
的
w
e
r
d
.
e
x
e
和
w
i
r
d
.
e
x
e
,
最
后
调
用
f
i
n
d
s
函
数
。
2
、
、
f
i
n
d
s
函
数
函
数
f
i
n
d
s
函
数
的
内
容
如
下
图
所
示
。
主
要
分
为
四
部
分
的
功
能
,
一
是
在
%
a
p
p
d
a
t
a
%
目
录
下
创
建
l
k
n
子
目
录
;
二
是
调
用
k
k
函
数
把
p
u
b
l
i
c
用
户
桌
面
下
的
快
捷
方
式
文
件
移
至
当
前
用
户
桌
面
下
;
三
是
拷
贝
当
前
用
户
桌
面
下
的
所
有
快
捷
方
式
文
件
至
“
%
a
p
p
d
a
t
a
%
/
l
n
k
”
目
录
下
,
并
调
用
M
a
k
e
S
h
o
r
t
c
u
t
函
数
进
行
感
染
生
成
新
的
桌
面
快
捷
方
式
文
件
;
四
是
利
用
干
净
文
档
替
换
恶
意
文
档
并
退
出
。
此
时
,
我
们
可
以
在
%
a
p
p
d
a
t
a
%
下
查
看
,
发
现
确
实
多
了
一
个
l
k
n
文
件
夹
以
及
w
i
r
d
.
e
x
e
和
w
e
r
d
.
e
x
e
两
个
P
E
文
件
,
如
下
图
所
示
。
其
中
文
件
属
性
和
图
标
如
下
图
所
示
。
我
们
可
以
看
到
,
w
e
r
d
.
e
x
e
竟
然
要
求
U
A
C
提
权
,
看
来
该
恶
意
文
件
应
该
包
含
高
权
限
操
作
。
3
、
、
k
k
函
数
函
数
k
k
函
数
很
简
单
,
就
是
把
p
u
b
l
i
c
用
户
下
的
快
捷
方
式
移
到
当
前
用
户
桌
面
下
。
4
、
、
M
a
k
e
S
h
o
r
t
c
u
t
函
数
函
数
M
a
k
e
S
h
o
r
t
c
u
t
函
数
具
体
内
容
如
下
图
所
示
。
主
要
是
把
当
前
用
户
桌
面
下
的
快
捷
方
式
文
件
进
行
感
染
操
作
,
使
得
所
有
的
快
捷
方
式
文
件
都
指
向
到
“
%
a
p
p
d
a
t
a
%
/
w
i
r
d
.
e
x
e
”
,
并
由
其
负
责
解
析
执
行
。
比
如
原
来
桌
面
的
w
i
n
h
e
x
快
捷
方
式
文
件
,
前
后
的
对
比
图
如
下
图
所
示
。
我
们
可
以
看
到
,
快
捷
方
式
的
属
性
中
,
目
标
类
型
、
目
标
和
起
始
位
置
三
项
都
发
生
了
变
化
,
其
中
目
标
由
“
C
:
P
r
o
g
r
a
m
F
i
l
e
s
(
x
8
6
)
W
i
n
H
e
x
W
i
n
H
e
x
.
e
x
e
”
变
化
为
“
C
:
U
s
e
r
s
a
d
m
i
n
A
p
p
D
a
t
a
R
o
a
m
i
n
g
w
i
r
d
.
e
x
e
"
W
i
n
H
e
x
.
e
x
e
"
"
C
:
U
s
e
r
s
a
d
m
i
n
A
p
p
D
a
t
a
R
o
a
m
i
n
g
l
k
n
W
i
n
H
e
x
-
快
捷
方
式
.
l
n
k
"
”
。
也
就
是
说
,
当
用
户
点
击
受
感
染
的
w
i
n
h
e
x
快
捷
方
式
的
时
候
,
其
实
调
用
的
进
程
是
%
a
p
p
d
a
t
a
%
/
l
k
n
/
w
i
r
d
.
e
x
e
,
并
且
带
有
两
个
参
数
,
分
别
是
"
W
i
n
H
e
x
.
e
x
e
"
以
及
"
C
:
U
s
e
r
s
a
d
m
i
n
A
p
p
D
a
t
a
R
o
a
m
i
n
g
l
k
n
W
i
n
H
e
x
-
快
捷
方
式
.
l
n
k
"
。
此
外
,
会
修
改
桌
面
上
所
有
的
快
捷
方
式
文
件
,
比
如
桌
面
上
的
“
i
e
x
p
l
o
r
e
快
捷
方
式
”
前
后
对
照
如
下
图
所
示
。
相
应
的
“
i
e
x
p
l
o
r
e
快
捷
方
式
”
原
本
指
向
的
“
C
:
P
r
o
g
r
a
m
F
i
l
e
s
(
x
8
6
)
I
n
t
e
r
n
e
t
E
x
p
l
o
r
e
r
i
e
x
p
l
o
r
e
.
e
x
e
”
被
修
改
为
“
C
:
U
s
e
r
s
a
d
m
i
n
A
p
p
D
a
t
a
R
o
a
m
i
n
g
w
i
r
d
.
e
x
e
"
i
e
x
p
l
o
r
e
.
e
x
e
"
"
C
:
U
s
e
r
s
a
d
m
i
n
A
p
p
D
a
t
a
R
o
a
m
i
n
g
l
k
n
i
e
x
p
l
o
r
e
-
快
捷
方
式
.
l
n
k
"
”
。
5
、
、
w
i
r
d
.
e
x
e
可
选
择
任
意
一
个
桌
面
受
感
染
快
捷
方
式
执
行
。
试
验
中
我
们
选
择
了
双
击
w
i
n
h
e
x
快
捷
方
式
,
w
i
r
d
.
e
x
e
开
始
运
行
。
首
先
,
拷
贝
%
A
p
p
D
a
t
a
%
w
e
r
d
.
e
x
e
文
件
到
该
目
录
下
的
w
i
n
h
e
x
.
e
x
e
然
后
执
行
。
w
i
n
h
e
x
.
e
x
e
执
行
后
,
U
A
C
弹
窗
提
示
W
i
n
H
e
x
.
e
x
e
需
要
权
限
(
其
实
是
w
e
r
d
.
e
x
e
)
,
通
过
这
种
方
式
欺
骗
用
户
,
让
用
户
不
经
意
之
间
就
点
击
“
是
”
从
而
允
许
U
A
C
提
权
操
作
。
随
后
,
w
i
r
d
.
e
x
e
会
打
开
真
正
的
w
i
n
h
e
x
快
捷
方
式
运
行
系
统
上
的
真
实
的
“
w
i
n
h
e
x
.
e
x
e
”
。
其
次
,
w
i
r
d
.
e
x
e
会
恢
复
桌
面
所
有
快
捷
方
式
文
件
。
w
i
r
d
.
e
x
e
会
用
%
a
p
p
d
a
t
a
%
/
l
k
n
目
录
下
的
快
捷
方
式
文
件
(
干
净
的
)
恢
复
当
前
用
户
的
桌
面
快
捷
方
式
。
保
证
了
只
要
运
行
一
次
“
感
染
快
捷
方
式
”
即
可
(
当
桌
面
有
很
多
快
捷
方
式
,
其
实
只
要
点
击
任
意
一
个
感
染
快
捷
方
式
,
运
行
w
e
r
d
.
e
x
e
文
件
后
,
w
i
r
d
.
e
x
e
就
完
成
了
任
务
,
会
恢
复
桌
面
所
有
的
干
净
快
捷
方
式
文
件
)
。
最
后
,
它
会
自
删
除
。
w
i
r
d
.
e
x
e
通
过
调
用
“
c
m
d
.
e
x
e
/
c
d
e
l
C
:
U
s
e
r
s
a
d
m
i
n
A
p
p
D
a
t
a
R
o
a
m
i
n
g
w
i
r
d
.
e
x
e
>
>
N
U
L
”
命
令
删
除
自
身
文
件
并
退
出
,
从
而
完
成
文
件
自
删
除
操
作
。
因
此
,
w
i
r
d
.
e
x
e
程
序
非
常
简
单
,
就
是
负
责
完
成
快
捷
方
式
的
相
关
操
作
,
启
动
w
e
r
d
.
e
x
e
,
恢
复
桌
面
,
自
删
除
。
成
功
运
行
后
,
用
户
桌
面
将
恢
复
原
样
。
同
时
,
%
a
p
p
d
a
t
a
%
目
录
下
只
剩
下
w
i
n
h
e
x
.
e
x
e
(
其
实
就
是
w
e
r
d
.
e
x
e
,
修
改
为
第
一
次
双
击
的
感
染
桌
面
快
捷
方
式
对
应
的
进
程
名
,
本
次
实
验
环
境
使
用
的
是
w
i
n
h
e
x
,
所
以
w
e
r
d
.
e
x
e
改
名
为
w
i
n
h
e
x
.
e
x
e
)
,
以
及
一
个
空
的
l
k
n
文
件
夹
。
5
、
、
w
e
r
d
.
e
x
e
W
e
r
d
.
e
x
e
运
行
后
(
本
次
环
境
改
名
为
w
i
n
h
e
x
.
e
x
e
)
,
连
接
的
网
络
状
态
如
下
图
。
连
接
的
C
2
服
务
器
域
名
与
端
口
为
n
i
n
g
l
a
r
e
n
l
a
c
.
c
o
m
:
8
0
,
I
P
地
址
为
1
9
1
.
1
0
1
.
2
0
.
1
6
,
连
接
成
功
后
P
O
S
T
数
据
到
服
务
器
,
访
问
的
U
R
L
是
:
h
x
x
p
:
/
n
i
n
g
l
a
r
e
n
l
a
c
.
c
o
m
/
4
/
f
o
r
u
m
.
p
h
p
。
网
络
数
据
如
下
图
所
示
。
发
送
的
数
据
包
括
G
U
I
D
、
b
u
i
l
d
、
机
器
名
、
域
名
及
用
户
名
、
外
网
I
P
地
址
、
操
作
系
统
版
本
等
,
其
中
外
网
I
P
地
址
通
过
访
问
:
h
t
t
p
:
/
/
a
p
i
.
i
p
i
f
y
.
o
r
g
/
获
取
。
网
络
数
据
如
下
图
所
示
。
直
接
用
浏
览
器
访
问
域
名
n
i
n
g
l
a
r
e
n
l
a
c
.
c
o
m
,
返
回
字
符
串
“
o
k
”
,
如
下
图
所
示
。
此
外
,
还
包
含
了
另
外
两
个
C
2
域
名
,
分
别
是
m
y
l
a
l
e
d
p
a
r
.
r
u
和
r
a
t
l
e
a
n
i
n
g
r
e
s
.
r
u
。
不
过
两
个
域
名
好
像
没
有
启
动
,
无
法
解
析
。
如
下
图
所
示
。
三
、
结
语
三
、
结
语
与
以
往
宏
病
毒
样
本
相
比
,
本
次
恶
意
宏
文
档
具
备
如
下
的
几
个
特
点
:
1
、
没
有
网
络
下
载
动
作
。
文
档
内
直
接
包
含
恶
意
负
载
部
分
,
没
有
利
用
类
似
p
o
w
e
r
s
h
e
l
l
脚
本
下
载
恶
意
文
件
。
2
、
没
有
直
接
进
程
执
行
动
作
。
不
像
以
往
恶
意
宏
会
直
接
执
行
恶
意
负
载
,
作
者
利
用
感
染
用
户
桌
面
快
捷
方
式
的
途
径
来
达
成
进
程
启
动
目
的
。
3
、
会
利
用
干
净
文
档
替
换
恶
意
文
档
,
从
而
更
具
迷
惑
性
。
I
O
C
S
:
W
o
r
d
文
档
:
a
a
b
2
3
0
5
5
f
4
8
9
b
5
c
1
f
e
c
a
9
7
a
7
6
3
e
f
8
0
8
d
w
e
r
d
.
e
x
e
:
c
e
a
5
2
7
2
3
6
e
0
9
f
5
6
9
0
9
3
f
e
a
6
7
d
8
0
0
8
e
8
0
w
i
r
d
.
e
x
e
:
a
7
9
2
c
6
7
2
5
6
8
7
0
5
0
7
a
2
5
4
e
7
c
a
c
1
a
1
f
1
4
5
C
2
S
e
r
v
e
r
s
:
h
x
x
p
:
/
n
i
n
g
l
a
r
e
n
l
a
c
.
c
o
m
/
4
/
f
o
r
u
m
.
p
h
p
h
x
x
p
:
/
/
m
y
l
a
l
e
d
p
a
r
.
r
u
/
4
/
f
o
r
u
m
.
p
h
p
h
x
x
p
:
/
/
r
a
t
l
e
a
n
i
n
g
r
e
s
.
r
u
/
4
/
f
o
r
u
m
.
p
h
p
*
本
文
原
创
作
者
:
本
文
原
创
作
者
:
c
f
g
9
9
,
本
文
属
,
本
文
属
F
r
e
e
B
u
f
原
创
奖
励
计
划
,
未
经
许
可
禁
止
转
载
原
创
奖
励
计
划
,
未
经
许
可
禁
止
转
载
回复
举报
上一个主题
下一个主题
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
立即注册
本版积分规则
发表回复
!disable!!post_parseurl!
使用Markdown编辑器编辑
使用富文本编辑器编辑
回帖后跳转到最后一页
发表
IOT