文章总结： ThearticleanalyzesWinRARvulnerabilitieslikeCVE-2025-8088andCVE-2023-38831exploitedinAPTattacks.ItdetailshowpathtraversalandlogicflawsallowwritingpayloadstoStartupfoldersviaunzipping.ThreatgroupssuchasRomComandAPT44usetheselow-alertnessvectorsforpersistence.Keyfindingsemphasizethehighriskofcompressedfilesasentrypoints.Actionableadviceincludesimmediatesoftwarepatching,strictemailgatewayfilteringofarchives,andendpointmonitoringforsuspiciousfilewritestosensitivedirectories. 综合评分： 90 文章分类： 漏洞分析,威胁情报,实战经验,安全建设,漏洞预警

PoC/生成器 GitHub（公开资源）：

• https://github.com/b1tg/CVE-2023-38831-winrar-exploit

演示效果如下所示：

5.漏洞影响及防御

（1）风险影响：面向终端与邮件体系的“高性价比投递器”

• 用户侧风险：只要存在 WinRAR <6.23 且用户习惯在 WinRAR 中直接打开压缩包内文件，即可能被利用执行任意代码，造成窃密、远控、勒索前置渗透等后果。
• 组织侧风险：该漏洞与钓鱼链结合，易被用于绕过“文档宏”类规则，且可快速规模化用于特定行业（金融交易、关键基础设施、政府与国防承包等）定向攻击。进入 CISA KEV 目录意味着其被确认在野利用且具备显著现实危害，需要加速修补与缓解。

（2） 防御与缓解：补丁优先 + 体系化检测

• 立即升级：将 WinRAR 升级到 6.23 或更高版本；RARLAB 更新日志明确修复了“在特制压缩包中双击启动错误文件”的问题。
• 使用替代策略降低触发面：在组织策略上禁止“在压缩软件界面内直接打开文件”，改为先解压到受控目录，再由受信任查看器打开，并对解压目录启用应用控制/脚本限制策略。
• 邮件与网关侧内容拆解：对入站附件 ZIP/RAR 进行结构化拆解与规则检测，重点检查“同名文件+目录”“尾随空格扩展名”“目录中脚本文件”等异常模式；将压缩包投递与后续脚本执行行为进行关联告警。
• 终端侧行为检测（EDR）：重点监控 WinRAR 子进程链（尤其是 cmd.exe/powershell.exe/wscript.exe/rundll32.exe 等）以及临时目录异常脚本执行；对“打开图片/文档却产生脚本执行”的行为建立高置信规则。
• 威胁情报联动：参考 TAG 披露的 IOC、投递链特点（云盘链接、诱饵主题、LNK/侧载/Run 键等），将其纳入 SOC 检测用例库与狩猎规则。

参考文献：

• [1] NIST. CVE-2023-38831 Detail[EB/OL]. https://nvd.nist.gov/vuln/detail/CVE-2023-38831
• [2] Google TAG. Government-backed actors exploiting WinRAR vulnerability[EB/OL]. https://blog.google/threat-analysis-group/government-backed-actors-exploiting-winrar-vulnerability/
• [3] Google 0day RCA（CVE-2023-38831 根因分析与 PoC 引用）[EB/OL]. https://googleprojectzero.github.io/0days-in-the-wild/0day-RCAs/2023/CVE-2023-38831.html
• [4] WIN哥学安全. CVE-2023-38831：WinRAR远程代码执行漏洞[EB/OL]. https://mp.weixin.qq.com/s/RKLoyZnLFcpMs3OJawLgpg
• [5] 白泽安全实验室. WinRAR或成APT组织“得力攻击武器”？[EB/OL]. https://mp.weixin.qq.com/s/zc3wb0QnL3HN1D_ks4_4cg
• [6] 奇安信CERT. RARLAB WinRAR代码执行漏洞(CVE-2023-38831)安全风险通告第二次更新[EB/OL]. https://mp.weixin.qq.com/s/wmmE1TfNb8bYw0nCJI9saA

四.CVE-2023-40477 缓冲区越界访问漏洞

1.漏洞概述

CVE-2023-40477 是影响 Windows 平台 WinRAR 的高危代码执行漏洞。其根因位于 RAR 恢复卷（recovery volume / recovery record）处理流程：对归档中由用户提供的数据缺乏充分验证，可能导致对缓冲区边界之外的内存访问（越界读写），在当前进程上下文中触发任意代码执行。该漏洞由 Trend Micro Zero Day Initiative (ZDI) 研究员报告给厂商，RARLAB 在 WinRAR 6.23 中完成修复。利用前提为用户交互（如打开恶意压缩文件）

| 字段 | 内容 | | — | — | | CVE 编号 | CVE-2023-40477 | | 影响产品 | WinRAR（Windows） | | 漏洞类型 | 内存破坏导致的任意代码执行（越界访问） | | 触发条件 | 需要用户交互（打开/处理恶意 RAR） | | 受影响版本 | 6.23 之前版本（已在 6.23 修复） | | 根因位置 | RAR 恢复卷/恢复记录处理中的输入验证不足 | | 公开与修复 | 由 ZDI 报告，RARLAB 在 6.23 修复 | | 严重性 | 多家报道给出 CVSS 7.8（High） | | 参考来源 | ZDI 披露与安全媒体汇总报道 |

2.利用组织

与“逻辑欺骗型”压缩包漏洞不同，CVE-2023-40477 属于内存破坏类，理论上可被武器化为稳定的客户端 RCE 触发器。然而，公开材料对具体 APT 组织名称与大规模在野利用证据的披露相对有限；主流报道更多强调其高价值攻击面（WinRAR 庞大装机量、邮件/下载场景普遍）与可被社会工程链路无缝整合的属性。

从攻防工程角度推断，其更可能被纳入以下两类行动范式：

• 定向鱼叉钓鱼：将恶意 RAR 作为附件或云盘链接，诱导目标打开；与“行业语境诱饵”（合同、简历、培训资料）结合，提高打开概率。
• 社工钓鱼投递：在论坛/资源站分发“资源包”，利用用户下载—解压习惯触发漏洞。

3.漏洞应用技战术分析

（1） 机制层：恢复卷处理中的边界检查缺失 RAR 恢复卷用于校验与修复归档数据完整性。CVE-2023-40477 指向该处理路径中对用户可控数据的验证不足，导致在解析/计算过程中访问越界内存。若攻击者精心布局数据结构与长度字段，可在异常路径上实现指针劫持或数据破坏，最终控制执行流（取决于具体内存布局与保护机制）。

（2） 触发面：将“打开压缩包”转化为执行入口 与常见文档宏不同，本漏洞的用户动作门槛低：只需打开或处理恶意 RAR。该特性使其易嵌入“看似只读”的工作流（预览/校验/解压前检查），降低心理防线。典型攻击链如下：

• 初始访问：邮件/云盘/下载站投递恶意 RAR。
• 用户交互：受害者在本地使用 WinRAR 打开或处理归档（触发恢复卷解析）。
• 漏洞触发：越界访问导致进程内代码执行。
• 后续阶段：下载器或内存驻留载荷拉起 C2、执行信息窃取/横向移动等。

4.漏洞影响及防御

（1） 防御规避与可检测点

• 规避侧：攻击者可将 RAR 外观与诱饵内容做强一致性包装，降低用户怀疑。
• 检测侧：终端 EDR 关注 WinRAR 进程异常崩溃前后的子进程/可疑模块加载、RAR 打开事件与网络出站行为的时间相关性。

（2）影响评估

• 资产暴露面大：WinRAR 长期作为默认解压工具存在于终端与运维环境。
• 低交互成本：打开文件即可触发，社会工程成功率高。
• 后果严重：一旦执行成功，权限继承当前用户上下文，可能演进为凭证窃取与横向移动。

（3）分层防御建议

• 补丁优先：统一升级至 WinRAR 6.23 或更高版本（厂商已修复）。
• 最小化攻击面：在不需要高级功能的场景，评估使用操作系统原生解压能力，减少第三方解析面。
• 邮件与下载治理：对入站 RAR 启用沙箱与内容重构（CDR）策略；限制未知来源压缩包直接在终端打开。
• 终端检测：为 WinRAR 进程建立“打开归档 → 异常子进程/脚本解释器/网络连接”的关联告警。
• 用户教育：将“压缩包同样是可执行风险容器”的观念纳入安全培训。

参考文献：

• [1] 看雪学苑. WinRAR解压缩软件存在漏洞，允许黑客执行任意代码[EB/OL]. https://mp.weixin.qq.com/s/_46HXcc4W-afiDRkw3JgdA
• [2] 潇湘信安. CVE-2023-40477！WinRAR代码执行漏洞[EB/OL]. https://mp.weixin.qq.com/s/fOaU-UvMEFVkYCNUiHzmow
• [3] 奇安信红雨滴团队. 红雨滴云沙箱：破解“压缩包+LNK”障眼法[EB/OL]. https://mp.weixin.qq.com/s/iAHyPMKyAXpLmvbBGnAo7A

五.CVE-2018-20250 路径穿越漏洞

1.漏洞概述

CVE-2018-20250 是 WinRAR（以及部分采用相同 ACE 解压组件的压缩软件）中一个典型的“路径穿越（Path Traversal）/任意文件写入（Arbitrary File Write）”漏洞：攻击者可构造恶意 ACE 压缩包，使解压过程在未充分校验目标路径的情况下，将文件写入受害者系统的敏感位置（尤其是 Windows 启动目录 Startup Folder），从而在用户下次登录/重启时触发恶意程序执行，实现持久化控制与后续投递。该问题的根源与 WinRAR 长期内置、且较陈旧的 UNACEV2.DLL（ACE 解压动态库）处理文件名/路径时的校验缺陷有关。

| 字段 | 内容 | | — | — | | CVE 编号 | CVE-2018-20250 | | 漏洞类型 | 路径穿越 / 任意文件写入（解压阶段）→ 可导向本地代码执行（持久化触发） | | 影响组件 | WinRAR 的 ACE 解压模块（UNACEV2.DLL）等 | | 攻击前提 | 需要用户交互：下载/打开/解压恶意 ACE 文件；通常不需要额外权限（在用户上下文写入可写目录） | | 典型危害 | 写入 Startup Folder/用户目录等位置 → 启动自执行（持久化）→ 进一步加载木马/远控 | | 修复/缓解 | WinRAR 5.70 Beta 1 起移除 ACE 支持/删除相关组件（UNACEV2.DLL），主流建议为更新版本或移除 DLL | | 现实风险特征 | 用户基数大、邮件/网盘分发成本低、易被社会工程“伪装文档”触发，长期被恶意样本滥用 |

2.利用组织

从对抗角度看，CVE-2018-20250 之所以在真实攻击中“性价比极高”，在于它满足了 APT/准 APT 投递链的三项关键诉求：

• 初始投递隐蔽且通用

  压缩包附件是跨行业、跨组织最常见的文件交换介质之一，极易嵌入钓鱼邮件、论坛资源、供应链文件包等场景。

• 利用效果偏“持久化落点”

  该漏洞不只是“解压到不该去的目录”，更关键在于可落地到 启动项/自启动相关路径，将一次用户交互转化为后续稳定的执行机会。

• 便于与多阶段载荷拼装

  APT 常将恶意程序拆分为“投递器/加载器 + 主控木马 + 插件模块”，而“任意文件写入”天然适合把不同组件投到不同目录，并通过启动项或快捷方式链路建立执行。

公开安全报告显示，该漏洞披露后迅速被各类恶意活动吸收利用，并在相当长时间内持续出现在投递链中（例如用于传播远控木马、加载器等），呈现“漏洞武器化 → 大规模滥用 → 与社会工程深度融合”的典型扩散路径。

实战提醒：即便组织已修补操作系统与浏览器，“常用桌面工具”（压缩软件、Office 插件、PDF 阅读器） 仍是钓鱼链路的高频突破口；CVE-2018-20250 属于“工具型软件 + 用户交互 + 低门槛投递”的代表样本。

3.漏洞应用技战术分析

下面以“攻防对抗建模”的方式，分解该漏洞在攻击链中的关键机制（强调原理与检测点，而非武器化细节）：

（1）触发面：ACE 文件作为“容器化投递载体” 攻击者构造恶意 ACE 压缩包，将看似正常的文档/图片与恶意可执行内容共同封装。通过邮件附件、IM 传输、论坛资源包、网盘共享等方式扩散，诱导用户执行“解压/查看”。

防守观察点：网关对 ACE/RAR/多层压缩内容的解包扫描能力、文件魔数（magic）与扩展名一致性校验、以及“解压后落点路径异常”检测。

（2）核心缺陷：UNACEV2.DLL 路径/文件名校验不足 → 目录穿越 WinRAR 依赖的 ACE 解压库在处理压缩包条目时，对路径中的特殊序列（例如上级目录穿越语义）过滤不充分，导致解压落点可被“重定向”。

• 本地存在的UNACEV2.DLL动态链接库，它就是该漏洞被利用的入口

防守观察点：端点侧监测压缩解包进程（WinRAR/解压组件）对 Startup、Run、Start Menu 等敏感目录的写入行为；或对解压输出路径进行策略约束。

（3）落点选择：以“启动项/登录自启动”实现持久化 攻击者通常将恶意文件写入用户权限可写、且具备自动执行语义的路径（典型即 Startup Folder）。一旦落地成功，恶意程序即可在下次登录/重启时被系统机制触发，形成“低交互成本”的持久化。对应 ATT&CK 语义上属于 Boot or Logon Autostart Execution（例如启动项/快捷方式相关子技术）。

防守观察点：对 Startup 目录新增/修改可执行文件、脚本、快捷方式（.lnk）的审计与告警；EDR 关联“解压进程 → 写入启动目录 → 新进程/脚本执行”的因果链。

（4）后续阶段：加载器执行 → C2 建链 → 模块化扩展 在 APT 场景中，落地的往往不是最终木马，而是加载器/投递器：执行后拉取主控组件、注入合法进程、建立 C2 通道并按需下发插件。因此，“压缩包漏洞”常被当作初始落点工具，真正的威胁能力来自后续多阶段框架。

防守观察点：初始触发后的一段时间窗口内，重点看：异常外联、可疑父子进程链、脚本解释器启动、系统工具滥用（LOLBins）等。

4.漏洞复现

仅用于安全研究与防护验证。请在隔离的虚拟机/靶场环境中进行。简要流程如下：

• 准备存在风险的 WinRAR 版本环境（历史版本包含 ACE 解压组件）。
• 使用公开的 PoC/脚本生成恶意 ACE/伪装压缩包，使其解压时产生路径穿越写入。
• 在受害机上执行“解压”动作，观察目标敏感目录（如 Startup Folder）出现异常文件。
• 通过重启/重新登录验证启动项触发行为，并结合进程审计/EDR 还原事件链。

打开Python运行exp.py代码，将自动生成test.rar压缩包。在当前文件夹生成了test.rar文件，将该压缩包发送给其他用户，如果目标电脑存在WinRAR漏洞，则会造成影响。当目标用户在桌面解压该文件夹，则会在电脑启动目录放入木马文件，命名为“hi.exe”。

• C:\Users\xxx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

复现 GitHub（公开 PoC 仓库）

• https://github.com/backlion/CVE-2018-20250

在WinRAR内一直点击进入目录可看到hi.exe的具体信息，如下图所示，可以看到其是ACE压缩文件。

当受害者通过WinRAR直接解压该文件便会触发该漏洞，从而释放内置的恶意程序（hi.exe）到用户windows系统的启动目录内，使得下次重启系统的时候该恶意程序能自动启动运行。Win10开机自启动如下图所示：

5.漏洞影响及防御

漏洞影响与防御：从“资产治理”到“检测响应”的分层建议如下： （1）影响评估要点

• 资产面：终端是否仍存在可处理 ACE 的 WinRAR/第三方压缩软件；是否残留 UNACEV2.DLL。
• 暴露面：邮件/网盘/论坛下载等入口是否允许 ACE 或多层压缩绕过扫描。
• 业务面：关键岗位终端（财务、人事、运维、涉密）是否更易被“文档型诱饵”命中。

（2）修复与加固

• 升级/移除 ACE 支持：更新 WinRAR 至移除 ACE 的版本线（5.70 Beta 1 起的处置策略之一是移除 ACE/相关组件）。
• 端点侧强约束：对 Startup 等自启动路径启用完整性监控（FIM）与写入告警；对压缩解包进程写入敏感目录进行拦截/隔离。
• 内容安全策略：邮件网关/下载网关对 ACE、嵌套压缩、可疑路径条目进行解包检测；必要时阻断 ACE 作为附件类型进入企业网。
• 用户交互面治理：围绕“压缩包附件”开展反钓鱼演练与提示（尤其强调：解压后出现“快捷方式/脚本/可执行文件”属于高危信号）。

（3）检测与响应建议

• 告警规则：WinRAR.exe（或压缩工具进程）对 %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\ 的写入事件；以及写入后短时间内出现 .exe/.bat/.cmd/.lnk 新建。
• 溯源取证：关联“压缩包来源”（邮件头、下载 URL、网盘分享链路）与端点落地哈希；回溯同类压缩包在组织内的横向扩散范围。
• 处置动作：隔离主机、清理启动项、封禁 IOC、并对相同压缩包哈希进行全网查杀。

参考文献： 主要参考作者Eastmount多年前的博客。

• [网络安全自学篇] 三十六.WinRAR安全缺陷复现（CVE-2018-20250）及软件自启动劫持机理

六.总结

压缩包成为“低门槛高收益”的初始访问载体。 从对抗视角看，WinRAR 漏洞之所以被 APT 反复选用，并非单纯因其技术复杂度高，而在于其高度契合社会工程。附件/网盘资源包天然具有业务合理性，且“解压/预览”在用户认知中属于低风险动作。攻击者借此把一次交互转化为落地机会，降低了依赖宏、脚本或显式运行可执行文件的心理门槛，从而显著提升初始访问成功率与规模化复用效率。

核心战术范式是“越界写入 → 启动项持久化 → 二阶段加载”。 多起案例共同指向一条稳定的工程化路径：利用目录穿越将载荷写入用户未预期的敏感目录（尤其 Startup），再以 LNK/脚本建立持久化入口，最后通过下载器或侧载链路拉起二阶段后门，实现长期驻留与任务化执行。CVE-2025-8088 进一步引入 ADS 等隐蔽容器，使“可见诱饵文件”与“真实载荷”在显示与落盘层面解耦，强化了隐蔽性与误导性；而 CVE-2023-38831 则体现了“逻辑缺陷 + 系统组件行为差异”叠加带来的执行偏转风险。

防御重点应从“静态查杀”转向“版本治理 + 行为关联”。 仅依赖文件特征与单点拦截，难以覆盖压缩包漏洞驱动的多阶段链路。更有效的策略是以版本基线和组件治理为前置（强制升级、清点便携版/依赖 DLL），同时在入口侧强化压缩包内容拆解（同名文件夹、异常路径、脚本/快捷方式条目、ADS 特征），在端点侧建立因果关联检测（归档工具进程 → 敏感目录写入 → LNK/脚本触发 → 异常子进程/外联）。将“解压越界写入”显性化为可观测事件，才能把这类“低噪声投递器”纳入可持续的 SOC 运营与威胁狩猎体系。

写到这里，这篇文章就介绍完毕，时隔多年再次回到漏洞文章，希望对您有所帮助。行路难，多歧路。感谢家人的陪伴，爱你们喔！

『网络攻防和AI安全之家』目前收到了很多博友、朋友和老师的支持和点赞，并且保持每周五次更新，尤其是一些看了我文章多年的老粉，购买来感谢，真的很感动，类目。未来，我将分享更多高质量文章，更多安全干货，真心帮助到大家。虽然起步晚，但贵在坚持，像十多年如一日的博客分享那样，脚踏实地，只争朝夕。继续加油，再次感谢！

(By:Eastmount 2026-02-01 夜于火星)

前文回顾（下面的超链接可以点击喔）：

• [系统安全] 一.什么是逆向分析、逆向分析应用及经典扫雷游戏逆向
• [系统安全] 二.如何学好逆向分析及吕布传游戏逆向案例
• [系统安全] 三.IDA Pro反汇编工具初识及逆向工程解密实战
• [系统安全] 四.OllyDbg动态分析工具基础用法及Crakeme逆向破解
• [系统安全] 五.OllyDbg和Cheat Engine工具逆向分析植物大战僵尸游戏
• [系统安全] 六.逆向分析之条件语句和循环语句源码还原及流程控制
• [系统安全] 七.逆向分析之PE病毒原理、C++实现文件加解密及OllyDbg逆向
• [系统安全] 八.Windows漏洞利用之CVE-2019-0708复现及蓝屏攻击
• [系统安全] 九.Windows漏洞利用之MS08-067远程代码执行漏洞复现及深度提权
• [系统安全] 十.Windows漏洞利用之SMBv3服务远程代码执行漏洞（CVE-2020-0796）复现
• [系统安全] 十一.那些年的熊猫烧香及PE病毒行为机理分析
• [系统安全] 十二.熊猫烧香病毒IDA和OD逆向分析（上）病毒初始化
• [系统安全] 十三.熊猫烧香病毒IDA和OD逆向分析（中）病毒释放机理
• [系统安全] 十四.熊猫烧香病毒IDA和OD逆向分析（下）病毒感染配置
• [系统安全] 十五.Chrome密码保存功能渗透解析、Chrome蓝屏漏洞及音乐软件漏洞复现
• [系统安全] 十六.PE文件逆向基础知识(PE解析、PE编辑工具和PE修改)
• [系统安全] 十七.Windows PE病毒概念、分类及感染方式详解
• [系统安全] 十八.病毒攻防机理及WinRAR恶意劫持漏洞(bat病毒、自启动、蓝屏攻击)
• [系统安全] 十九.宏病毒之入门基础、防御措施、自发邮件及APT28宏样本分析
• [系统安全] 二十.PE数字签名之(上)什么是数字签名及Signtool签名工具详解
• [系统安全] 二十一.PE数字签名之(中)Signcode、PEView、010Editor、Asn1View工具用法
• [系统安全] 二十二.PE数字签名之(下)微软证书漏洞CVE-2020-0601复现及Windows验证机制分析
• [系统安全] 二十三.逆向分析之OllyDbg动态调试复习及TraceMe案例分析
• [系统安全] 二十四.逆向分析之OllyDbg调试INT3断点、反调试、硬件断点与内存断点
• [系统安全] 二十五.WannaCry勒索病毒分析 (1)Python复现永恒之蓝漏洞实现勒索加密
• [系统安全] 二十六.WannaCry勒索病毒分析 (2)MS17-010漏洞利用及解析
• [系统安全] 二十七.WannaCry勒索病毒分析 (3)蠕虫传播机制分析及IDA和OD逆向
• [系统安全] 二十八.CS逆向分析 (1)你的游戏子弹用完了吗？Cheat Engine工具入门
• [系统安全] 二十九.外部威胁防护和勒索病毒对抗（深信服视频学习）
• [系统安全] 三十.WannaCry勒索病毒分析 (4)全网“最“详细的蠕虫传播机制解读
• [系统安全] 三十一.恶意代码检测(1)恶意代码攻击溯源及恶意样本分析
• [系统安全] 三十二.恶意代码检测(2)常用技术万字详解及总结
• [系统安全] 三十三.恶意代码检测(3)基于机器学习的恶意代码检测技术
• [系统安全] 三十四.恶意代码检测(4)编写代码自动提取IAT表、字符串及时间戳
• [系统安全] 三十五.Procmon工具基本用法及文件进程、注册表查看
• [系统安全] 三十六.学术分享之基于溯源图的APT攻击检测安全顶会论文总结
• [系统安全] 三十七.Metasploit技术之基础用法万字详解及防御机理
• [系统安全] 三十八.Metasploit后渗透技术信息收集、权限提权和功能模块详解及防护建议
• [系统安全] 三十九.恶意代码同源分析及BinDiff软件基础用法
• [系统安全] 四十.Powershell恶意代码检测系列 (1)Powershell基础入门及管道和变量的用法
• [系统安全] 四十一.Powershell恶意代码检测系列 (2)Powershell基础语法和注册表操作
• [系统安全] 四十二.Powershell恶意代码检测系列 (3)PowerSploit脚本渗透详解
• [系统安全] 四十三.Powershell恶意代码检测系列 (4)论文总结及抽象语法树（AST）提取
• [系统安全] 四十四.恶意软件分析 (1)静态分析Capa经典工具的基本用法万字详解
• [系统安全] 四十五.恶意软件分析 (2)静态分析Capa经典工具批量提取静态特征和ATT&CK技战术
• [系统安全] 四十六.恶意软件分析 (3)动态分析经典沙箱Cape的安装和基础用法详解
• [系统安全] 四十七.恶意软件分析 (4)Cape沙箱批量提取动态API特征
• [系统安全] 四十八.恶意软件分析 (5)Cape沙箱分析结果Report报告的API序列批量提取详解
• [系统安全] 四十九.恶意家族分类 (1)基于API序列和机器学习的恶意家族分类实例详解
• [系统安全] 五十.恶意家族分类 (2)基于API序列和深度学习的恶意家族分类实例详解
• [系统安全] 五十二.DataCon竞赛 (1)2020年Coremail钓鱼邮件识别及分类详解
• [系统安全] 五十三.DataCon竞赛 (2)2022年DataCon涉网分析之恶意样本IOC自动化提取详解
• [系统安全] 五十四.恶意软件分析 (6)PE文件解析及利用Python获取样本时间戳详解
• [系统安全] 五十五.恶意软件分析 (7)IDA Python基础用法及CFG控制流图提取详解[上]
• [系统安全] 五十七.恶意软件分析 (9)利用MS Defender实现恶意样本家族批量标注（含学术探讨）
• [系统安全] 五十八.恶意软件分析 (10)利用火绒安全实现恶意样本家族批量标注（含学术探讨）
• [系统安全] 五十九.恶意软件分析 (11)利用AVClass实现恶意软件家族标注及RAID16经典论文解析
• [系统安全] 六十.威胁狩猎 (1)APT攻击检测及防御与常见APT组织的攻击案例分析
• [系统安全] 六十一.恶意软件分析 (12)LLM赋能Lark工具提取XLM代码的抽象语法树（初探）
• [系统安全] 六十二.恶意软件分析 (13)LLM赋能实现基于机器学习的恶意家族分类（初探）
• [系统安全] 六十三.Powershell恶意代码检测系列 (6) 混淆和反混淆 [上]
• [系统安全] 六十四.漏洞挖掘与利用 (1)WinRAR漏洞在APT攻击中的应用总结

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：娜璋AI安全之家 Eastmount Eastmount《[系统安全] 六十四.漏洞挖掘与利用 (1)WinRAR漏洞在APT攻击中的应用总结》