论坛
BBS
空间测绘
发表
发布文章
提问答疑
搜索
您还未登录
登录后即可体验更多功能
立即登录
我的收藏
提问答疑
我要投稿
漏洞
[6943] 2020-09-24_如何调试分析OfficeEPS漏洞样本?
文档创建者:
s7ckTeam
浏览次数:
8
最后更新:
2025-01-17
漏洞
8 人阅读
|
0 人回复
s7ckTeam
s7ckTeam
当前离线
积分
-54
6万
主题
-6万
回帖
-54
积分
管理员
积分
-54
发消息
2020-09-24_如何调试分析OfficeEPS漏洞样本?
如
何
调
试
分
析
O
f
f
i
c
e
E
P
S
漏
洞
样
本
?
E
安
全
2
0
2
0
-
0
9
-
2
4
以
下
文
章
来
源
于
安
恒
信
息
安
全
研
究
院
,
作
者
猎
影
实
验
室
前
言
前
言
最
近
某
A
P
T
组
织
又
开
始
使
用
O
f
f
i
c
e
E
P
S
漏
洞
样
本
进
行
攻
击
,
由
于
E
P
S
语
法
采
用
逆
波
兰
表
示
法
,
所
以
静
态
理
解
起
来
比
较
困
难
,
本
文
分
享
一
下
笔
者
对
E
P
S
漏
洞
动
态
调
试
的
一
些
经
验
。
3
个
个
E
P
S
漏
洞
漏
洞
O
f
f
i
c
e
E
P
S
组
件
的
漏
洞
一
共
出
现
过
3
个
,
分
别
是
C
V
E
-
2
0
1
5
-
2
5
4
5
、
C
V
E
-
2
0
1
7
-
0
2
6
1
和
C
V
E
-
2
0
1
7
-
0
2
6
2
,
随
后
微
软
禁
用
了
E
P
S
组
件
,
不
再
有
新
的
E
P
S
漏
洞
出
现
。
这
些
E
P
S
漏
洞
之
所
以
受
攻
击
者
青
睐
是
因
为
:
E
P
S
是
一
种
脚
本
语
言
,
具
有
和
J
a
v
a
S
c
r
i
p
t
等
脚
本
语
言
相
似
的
特
性
,
在
P
o
C
编
写
、
堆
喷
射
、
缓
解
机
制
绕
过
、
S
h
e
l
l
c
o
d
e
编
写
方
面
都
较
传
统
的
O
f
f
i
c
e
漏
洞
更
为
方
便
。
微
软
早
已
意
识
到
E
P
S
解
析
组
件
的
危
险
性
,
所
以
在
O
f
f
i
c
e
2
0
1
0
及
以
上
版
本
中
会
启
动
f
l
t
l
d
r
.
e
x
e
这
个
沙
箱
进
程
(
f
l
t
l
d
r
.
e
x
e
进
程
为
l
o
w
权
限
,
无
法
进
行
常
规
的
文
件
写
入
等
操
作
)
去
加
载
e
p
s
i
m
p
3
2
.
f
l
t
动
态
库
。
因
此
,
攻
击
者
如
果
要
借
助
E
P
S
漏
洞
攻
击
O
f
f
i
c
e
2
0
1
0
及
以
上
的
用
户
,
就
需
要
在
S
h
e
l
l
c
o
d
e
中
配
套
使
用
一
个
内
核
提
权
漏
洞
进
行
沙
箱
逃
逸
。
目
前
已
经
观
察
到
的
O
f
f
i
c
e
E
P
S
漏
洞
+
内
核
提
权
漏
洞
的
组
合
有
如
下
这
些
:
C
V
E
-
2
0
1
5
-
2
5
4
5
+
C
V
E
-
2
0
1
5
-
2
5
4
6
C
V
E
-
2
0
1
7
-
0
2
6
1
+
C
V
E
-
2
0
1
6
-
7
2
5
5
C
V
E
-
2
0
1
7
-
0
2
6
1
+
C
V
E
-
2
0
1
7
-
0
0
0
1
C
V
E
-
2
0
1
7
-
0
2
6
2
+
C
V
E
-
2
0
1
7
-
0
2
6
3
C
V
E
-
2
0
1
7
-
0
2
6
1
+
C
V
E
-
2
0
1
9
-
0
8
0
8
E
P
S
组
件
在
不
同
版
本
组
件
在
不
同
版
本
o
f
f
i
c
e
上
的
区
别
上
的
区
别
安
恒
信
息
安
全
研
究
院
安
恒
信
息
安
全
研
究
院
.
一
群
技
术
宅
漏
洞
利
用
的
区
别
漏
洞
利
用
的
区
别
E
P
S
组
件
在
O
f
f
i
c
e
2
0
0
7
和
O
f
f
i
c
e
2
0
1
0
下
的
区
别
主
要
在
于
有
无
沙
箱
机
制
,
所
以
利
用
的
区
别
主
要
在
于
是
否
有
配
套
的
内
核
提
权
程
序
。
理
论
上
,
如
果
一
个
E
P
S
漏
洞
样
本
只
攻
击
o
f
f
i
c
e
2
0
0
7
用
户
,
则
无
需
内
嵌
一
个
内
核
提
权
组
件
。
目
前
观
察
到
的
实
际
攻
击
样
本
大
多
内
嵌
内
核
提
权
漏
洞
,
所
以
可
推
测
攻
击
目
标
以
o
f
f
i
c
e
2
0
1
0
及
以
上
版
本
为
主
。
调
试
的
区
别
调
试
的
区
别
以
笔
者
的
经
验
来
看
,
O
f
f
i
c
e
2
0
1
0
下
调
试
E
P
S
漏
洞
是
一
件
比
较
麻
烦
的
事
情
,
主
要
是
因
为
f
l
t
l
d
r
.
e
x
e
进
程
的
沙
箱
机
制
,
附
加
调
试
器
到
f
l
t
l
d
r
.
e
x
e
进
程
进
行
调
试
存
在
诸
多
不
便
。
由
于
大
多
数
C
V
E
-
2
0
1
7
-
0
2
6
1
样
本
在
O
f
f
i
c
e
2
0
0
7
上
都
能
完
整
触
发
,
所
以
碰
到
C
V
E
-
2
0
1
7
-
0
2
6
1
漏
洞
样
本
可
以
优
先
在
O
f
f
i
c
e
2
0
0
7
上
进
行
调
试
。
但
也
有
例
外
情
况
,
最
近
观
察
到
某
A
P
T
的
一
个
C
V
E
-
2
0
1
7
-
0
2
6
1
样
本
在
O
f
f
i
c
e
2
0
1
0
下
与
O
f
f
i
c
e
2
0
0
7
下
行
为
表
现
不
一
致
(
在
O
f
f
i
c
e
2
0
1
0
下
运
行
时
释
放
了
一
个
额
外
的
内
核
提
权
组
件
)
。
如
何
在
内
存
中
定
位
如
何
在
内
存
中
定
位
s
h
e
l
l
c
o
d
e
起
始
点
起
始
点
定
位
处
理
函
数
地
址
定
位
处
理
函
数
地
址
(
I
D
A
)
O
f
f
i
c
e
负
责
解
析
E
P
S
文
件
的
模
块
叫
e
p
s
i
m
p
3
2
.
f
l
t
,
尽
管
后
缀
名
为
.
f
l
t
,
这
其
实
是
一
个
动
态
库
。
以
O
f
f
i
c
e
2
0
0
7
不
打
补
丁
的
版
本
为
例
,
将
e
p
s
i
m
p
3
2
.
f
l
t
拖
进
I
D
A
中
进
行
逆
向
,
在
S
t
r
i
n
g
s
界
面
可
以
定
位
到
许
多
P
o
s
t
S
c
r
i
p
t
语
法
关
键
字
,
对
这
些
关
键
字
进
行
交
叉
引
用
就
可
以
定
位
到
一
系
列
虚
函
数
调
用
入
口
:
通
过
这
一
级
入
口
就
可
以
找
到
相
关
P
o
s
t
S
c
r
i
p
t
语
法
的
处
理
函
数
。
定
位
定
位
e
p
s
i
m
p
3
2
.
f
l
t
的
加
载
的
加
载
这
里
笔
者
以
o
f
f
i
c
e
2
0
0
7
+
w
i
n
d
b
g
为
例
,
为
了
对
e
p
s
i
m
p
3
2
.
f
l
t
模
块
内
的
汇
编
代
码
下
断
点
,
首
先
需
要
定
位
到
e
p
s
i
m
p
3
2
.
f
l
t
的
加
载
处
:
成
功
断
下
后
w
i
n
d
b
g
界
面
显
示
如
下
:
定
位
虚
函
数
调
用
劫
持
点
定
位
虚
函
数
调
用
劫
持
点
调
试
一
个
漏
洞
样
本
时
,
其
最
终
目
的
是
找
到
其
执
行
的
s
h
e
l
l
c
o
d
e
,
下
面
笔
者
分
享
如
何
在
内
存
中
定
位
E
P
S
漏
洞
s
h
e
l
l
c
o
d
e
入
口
的
一
些
经
验
。
在
已
出
现
的
E
P
S
漏
洞
的
攻
击
样
本
中
,
多
是
借
助
虚
表
劫
持
的
方
式
来
切
换
控
制
流
,
目
前
观
察
到
的
虚
表
劫
持
处
有
两
个
:
如
果
在
加
载
e
p
s
i
m
p
3
2
.
f
l
t
后
对
上
述
地
址
下
断
点
,
有
比
较
大
的
概
率
会
断
在
漏
洞
触
发
后
的
虚
函
数
调
用
劫
持
点
,
比
如
最
近
的
某
C
V
E
-
2
0
1
7
-
0
2
6
1
样
本
(
m
d
5
:
7
e
7
4
d
8
7
0
8
c
1
1
8
c
1
3
3
e
6
e
5
9
1
a
e
0
f
a
c
3
3
b
)
就
是
通
过
e
p
s
i
m
p
3
2
+
0
x
3
0
1
9
7
处
的
虚
函
数
调
用
最
终
进
行
控
制
流
切
换
的
:
定
位
定
位
R
O
P
g
a
d
g
e
t
s
E
P
S
漏
洞
样
本
在
成
功
劫
持
虚
函
数
调
用
后
,
一
般
先
从
x
c
h
g
指
令
进
行
栈
帧
切
换
开
始
,
下
面
借
助
某
C
V
E
-
2
0
1
7
-
0
2
6
1
样
本
(
m
d
5
:
7
e
7
4
d
8
7
0
8
c
1
1
8
c
1
3
3
e
6
e
5
9
1
a
e
0
f
a
c
3
3
b
)
具
体
举
一
个
例
子
:
上
述
指
令
的
目
的
是
为
了
替
换
原
有
的
e
p
s
寄
存
器
值
,
d
p
s
看
一
下
伪
造
的
栈
(
此
刻
存
储
在
e
a
x
中
)
中
存
储
了
哪
些
信
息
:
可
以
看
到
栈
上
的
返
回
地
址
都
是
一
些
r
o
p
g
a
d
g
e
t
s
的
地
址
:
定
位
定
位
s
h
e
l
l
c
o
d
e
执
行
完
上
述
最
后
一
个
r
e
t
0
c
指
令
后
,
r
o
p
链
就
会
调
用
k
e
r
n
e
l
3
2
!
V
i
r
t
u
a
l
P
r
o
t
e
c
t
S
t
u
b
函
数
将
s
h
e
l
l
c
o
d
e
的
地
址
设
为
可
执
行
:
对
照
V
i
r
t
u
a
l
P
r
o
t
e
c
t
函
数
的
声
明
来
看
一
下
每
个
参
数
:
很
明
显
,
s
h
e
l
l
c
o
d
e
起
始
地
址
为
0
x
6
f
e
e
e
0
,
下
断
点
命
中
后
即
得
到
了
s
h
e
l
l
c
o
d
e
起
始
地
址
:
通
过
上
述
方
法
,
就
定
位
到
了
上
述
样
本
的
s
h
e
l
l
c
o
d
e
起
始
处
,
此
时
对
虚
拟
机
做
个
快
照
,
后
面
的
任
务
就
转
化
为
如
何
调
试
s
h
e
l
l
c
o
d
e
了
。
L
o
a
d
E
p
s
笔
者
前
段
时
间
读
了
看
雪
论
坛
的
一
篇
C
V
E
-
2
0
1
7
-
0
2
6
1
的
分
析
文
章
(
h
t
t
p
s
:
/
/
b
b
s
.
p
e
d
i
y
.
c
o
m
/
t
h
r
e
a
d
-
2
6
1
4
4
2
.
h
t
m
)
,
意
外
发
现
G
i
t
h
u
b
上
有
一
个
L
o
a
d
E
p
s
的
加
载
程
序
(
h
t
t
p
s
:
/
/
g
i
t
h
u
b
.
c
o
m
/
k
c
u
f
I
d
/
e
p
s
-
C
V
E
-
2
0
1
7
-
0
2
6
1
)
比
较
有
意
思
。
简
单
来
说
,
L
o
a
d
E
p
s
的
作
者
用
汇
编
语
言
写
了
一
个
E
P
S
组
件
加
载
器
,
这
个
文
件
会
直
接
调
用
E
P
S
文
件
进
行
解
析
,
这
样
,
在
没
有
安
装
O
f
f
i
c
e
的
环
境
中
也
可
以
调
试
E
P
S
样
本
,
给
这
方
面
的
调
试
工
作
带
来
了
一
些
简
化
。
适
用
于
适
用
于
L
o
a
d
E
p
s
的
样
本
的
样
本
笔
者
下
载
试
用
了
一
下
L
o
a
d
E
p
s
,
发
现
它
可
以
正
常
加
载
许
多
从
之
前
的
样
本
中
提
取
出
来
的
E
P
S
文
件
,
比
如
这
个
弹
h
e
l
l
o
w
o
r
l
d
对
话
框
的
样
本
(
m
d
5
:
8
4
5
c
a
9
3
d
d
2
f
8
d
7
4
6
1
4
d
6
8
7
d
5
2
b
3
e
e
e
2
4
)
和
这
个
弹
计
算
器
的
样
本
(
m
d
5
:
2
7
3
4
e
3
6
5
5
a
1
d
3
0
b
8
9
4
8
c
1
8
6
b
3
6
1
f
f
b
7
2
)
。
方
法
是
在
原
项
目
的
d
o
n
e
文
件
夹
中
,
将
L
o
a
d
E
p
s
的
后
缀
名
改
为
.
e
x
e
,
将
e
p
s
.
p
o
c
文
件
替
换
为
本
次
需
要
加
载
的
e
p
s
文
件
并
且
重
命
名
为
e
p
s
.
p
o
c
,
当
然
也
可
以
手
动
改
动
L
o
a
d
E
P
S
源
码
并
重
新
编
译
。
如
果
L
o
a
d
E
P
S
可
以
加
载
当
前
E
P
S
文
件
,
调
试
任
务
就
转
化
为
调
试
L
o
a
d
E
P
S
进
程
中
加
载
的
e
p
s
i
m
p
3
2
.
f
l
t
模
块
,
这
在
没
有
安
装
O
f
f
i
c
e
的
环
境
中
也
可
进
行
,
从
而
简
化
了
调
试
场
景
。
然
后
就
可
以
借
助
w
i
n
d
b
g
等
调
试
器
加
载
L
o
a
d
E
p
s
来
调
试
E
P
S
文
件
,
但
要
注
意
的
是
,
如
果
直
接
用
作
者
编
译
好
的
L
o
a
d
E
p
s
.
e
x
e
,
需
要
在
调
试
器
中
手
动
设
置
一
下
启
动
目
录
,
不
然
L
o
a
d
E
p
s
按
照
默
认
的
目
录
枚
举
方
式
无
法
找
到
e
p
s
.
p
o
c
,
也
就
无
法
正
常
加
载
e
p
s
文
件
:
不
适
用
于
不
适
用
于
L
o
a
d
E
p
s
的
样
本
的
样
本
不
过
,
笔
者
在
实
验
中
发
现
L
o
a
d
E
p
s
无
法
正
常
加
载
今
年
出
现
的
一
些
C
V
E
-
2
0
1
7
-
0
2
6
1
样
本
(
m
d
5
:
7
e
7
4
d
8
7
0
8
c
1
1
8
c
1
3
3
e
6
e
5
9
1
a
e
0
f
a
c
3
3
b
)
中
内
嵌
的
E
P
S
文
件
,
在
用
L
o
a
d
E
P
S
加
载
相
关
样
本
时
,
发
现
会
崩
溃
在
一
个
注
册
回
调
处
点
,
笔
者
仔
细
看
了
下
L
o
a
d
E
p
s
源
码
,
发
现
作
者
并
未
实
现
E
P
S
加
载
中
可
能
涉
及
到
的
部
分
回
调
:
对
这
些
无
法
通
过
L
o
a
d
E
p
s
加
载
的
E
P
S
文
件
,
读
者
只
能
借
助
安
装
了
O
f
f
i
c
e
的
环
境
去
加
载
相
应
的
d
o
c
x
文
件
并
手
动
调
试
。
调
试
思
路
总
结
调
试
思
路
总
结
综
上
,
笔
者
建
议
可
采
用
如
下
步
骤
分
析
此
类
E
P
S
漏
洞
:
目
前
已
经
观
察
到
部
分
E
P
S
漏
洞
样
本
无
法
在
V
M
W
a
r
e
虚
拟
机
内
正
常
触
发
,
但
可
以
在
H
y
p
e
r
-
V
或
者
Q
E
M
U
虚
拟
机
内
触
发
,
读
者
有
时
候
如
果
遇
到
当
前
虚
拟
机
内
无
法
触
发
的
情
况
,
可
以
考
虑
多
试
几
种
不
同
虚
拟
机
产
品
。
参
考
链
接
参
考
链
接
C
V
E
-
2
0
1
5
-
2
5
4
5
h
t
t
p
s
:
/
/
w
w
w
.
f
i
r
e
e
y
e
.
c
o
m
/
c
o
n
t
e
n
t
/
d
a
m
/
f
i
r
e
e
y
e
-
w
w
w
/
b
l
o
g
/
p
d
f
s
/
t
w
o
f
o
r
o
n
e
f
i
n
a
l
.
p
d
f
h
t
t
p
s
:
/
/
w
w
w
.
f
i
r
e
e
y
e
.
c
o
m
/
b
l
o
g
/
t
h
r
e
a
t
-
r
e
s
e
a
r
c
h
/
2
0
1
5
/
1
2
/
t
h
e
_
e
p
s
_
a
w
a
k
e
n
s
.
h
t
m
l
h
t
t
p
:
/
/
b
l
o
g
.
m
o
r
p
h
i
s
e
c
.
c
o
m
/
e
x
p
l
o
i
t
-
b
y
p
a
s
s
-
e
m
e
t
-
c
v
e
-
2
0
1
5
-
2
5
4
5
C
V
E
-
2
0
1
7
-
0
2
6
1
/
C
V
E
-
2
0
1
7
-
0
2
6
2
h
t
t
p
s
:
/
/
w
w
w
.
f
i
r
e
e
y
e
.
c
o
m
/
b
l
o
g
/
t
h
r
e
a
t
-
r
e
s
e
a
r
c
h
/
2
0
1
7
/
0
5
/
e
p
s
-
p
r
o
c
e
s
s
i
n
g
-
z
e
r
o
-
d
a
y
s
.
h
t
m
l
h
t
t
p
s
:
/
/
b
b
s
.
p
e
d
i
y
.
c
o
m
/
t
h
r
e
a
d
-
2
6
1
4
4
2
.
h
t
m
L
o
a
d
E
p
s
h
t
t
p
s
:
/
/
g
i
t
h
u
b
.
c
o
m
/
k
c
u
f
I
d
/
e
p
s
-
C
V
E
-
2
0
1
7
-
0
2
6
1
注
:
本
文
由
E
安
全
编
译
报
道
,
转
载
请
注
原
文
地
址
h
t
t
p
s
:
/
/
w
w
w
.
e
a
s
y
a
q
.
c
o
m
推
荐
阅
读
:
这
是
真
的
吗
?
揭
秘
全
国
网
络
安
宣
传
周
特
别
节
目
—
—
利
用
蓝
牙
漏
洞
入
侵
手
机
姓
名
、
出
生
日
期
、
职
务
头
衔
…
…
黑
客
泄
露
了
1
0
0
0
名
白
俄
罗
斯
高
级
警
察
的
详
细
信
息
重
磅
!
安
恒
信
息
发
布
《
教
育
行
业
网
络
安
全
白
皮
书
》
(
文
末
获
取
)
共
窃
取
1
6
8
0
万
美
元
!
美
国
司
法
部
对
两
名
俄
罗
斯
黑
客
提
起
诉
讼
2
0
2
0
国
家
网
络
安
全
宣
传
周
:
安
卓
用
户
注
意
了
!
常
年
不
关
手
机
蓝
牙
或
成
为
“
定
时
炸
弹
”
▼
点
击
“
阅
读
原
文
”
查
看
更
多
精
彩
内
容
喜
欢
记
得
打
赏
小
E
哦
!
回复
举报
上一个主题
下一个主题
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
立即注册
本版积分规则
发表回复
!disable!!post_parseurl!
使用Markdown编辑器编辑
使用富文本编辑器编辑
回帖后跳转到最后一页
发表
漏洞