https://blog.qife122.com/tags/%E7%97%85%E6%AF%92%E4%BC%A0%E6%92%AD/ Recent content in 病毒传播 on 办公AI智能小助手 Hugo zh-cn qife Tue, 13 Jan 2026 14:17:44 +0800 https://blog.qife122.com/p/%E6%8F%AD%E7%A7%98formbook%E6%81%B6%E6%84%8F%E8%BD%AF%E4%BB%B6%E9%80%9A%E8%BF%87%E5%A4%9A%E9%87%8D%E8%84%9A%E6%9C%AC%E6%B7%B7%E6%B7%86%E4%BC%A0%E6%92%AD%E7%9A%84%E5%A4%8D%E6%9D%82%E6%84%9F%E6%9F%93%E9%93%BE/ Tue, 13 Jan 2026 14:17:44 +0800 https://blog.qife122.com/p/%E6%8F%AD%E7%A7%98formbook%E6%81%B6%E6%84%8F%E8%BD%AF%E4%BB%B6%E9%80%9A%E8%BF%87%E5%A4%9A%E9%87%8D%E8%84%9A%E6%9C%AC%E6%B7%B7%E6%B7%86%E4%BC%A0%E6%92%AD%E7%9A%84%E5%A4%8D%E6%9D%82%E6%84%9F%E6%9F%93%E9%93%BE/ <p><strong>Formbook 通过多重脚本投递</strong></p> <p>当我教授FOR610课程时，我总是告诉我的学生，逆向工程不仅适用于“可执行文件”（即PE或ELF文件）。大多数情况下，感染路径会涉及多个阶段，以对抗安全分析师或安全控制措施。以下是我昨天发现的一个例子。一封电子邮件通过一个ZIP附件被接收。它包含一个简单的文件：“Payment_confirmation_copy_30K__202512110937495663904650431.vbs”（SHA256：<code>d9bd350b04cd2540bbcbf9da1f3321f8c6bba1d8fe31de63d5afaf18a735744f</code>），在VirusTotal上被65款杀毒软件中的17款识别。让我们来看看感染路径。</p>