北京警察学院图书文献资源购置项目 .doc

资源描述

1、南县兴港高级中学基于“生本”的有效词汇教学导学课例滕洁琼龙湾中学基于语篇的虚拟语气复习叶海燕温州市第八高级中学课例合理定位目标，有效落实词汇.尹建平苍南县矾山高级中学基于文本和学情的阅读导学王学义龙湾中学自学自做共享互助Module5 unit1John Snow Defeats “King Cholera”阅读课例文中梅瑞安市第八中学运用情景语境策略，促进语法有效学习程萍萍文成中学基于 Using Language 课型的有效导学“三段七步读写整合模式”在 Using Language 课型中的运用吕秋华温州第二高级中学以生为本，巧设语境，有效学习词汇彭李菜龙湾中学主

2、动活动应用Book2 Unit2 Wildlife Protection 阅读导学课例项金翠苍南县钱库第二高级中学基于文本和话题的有效单元词汇复习模式的探讨郑金红龙湾中学将课堂瘦身进行到底打造扎实，朴实的高效课堂支秀娜乐清市白象中学导学案引领深度阅读，提高阅读课效率朱素芬温州市第十一中学促进有效学习人教版必修 2UnitMuisc 教学课例潘峰温州中学 Warming up 的铺垫促进单元有效学习周奎兰温州市第二十二中学 6 写人文体阅读技巧的教学周小微苍南县巨人中学话题整合，借题发挥，有效复习叶茫茫温州市第十一中学三等奖（三等奖（2828 篇）篇）立足文本解读优化阅读

3、教学陈新新苍南县灵溪中学 “促进有效学习”的英语阅读导学课蔡赛娜温州市第十五中学多角度解读文本，促进有效学习季蓉蓉平阳县鳌江中学考前备战增分点英语表达思维巧扩散姜少微龙湾区永强中学牵手“语篇阅读”，焕发词“会”教学魅力一堂词汇教学课例的探究肖一帆温州市第八中学 “学本课堂”订制渐进式英语写作蔡爱娥龙湾区永强中学发挥学生主体地位提高阅读课有效性陈建丹温州市第二十二中学浅尝英语阅读课自主学习徐娃娃永嘉县永临中学 “以学定教”视角下的人文化阅读教学鲍培蕾永嘉县永临中学教师“导”，学生“读”以学生“读”为中心的高中英语阅读教学课例方群温州市第二十三中学基于课文标题的有效

4、阅读叶翔温州市五十一中学情景创设，让写作变“难”为“易”吴明明瑞安市第六中学有效审题英语写作的关键高中英语学业水平检测议论文写作复习课课例黄小乐瓯海区第一高级中学融会贯通，讲练结合NSEF Module 1Unit3 单元词汇复习课课例研究陈素瓯海区第一高级中学精心设置语境有效进行词汇复习许佩红瓯海区三溪中学有效铺垫让课堂柳暗花明-THE MILLION POUND BANK NOTE课例林丽瓯海区三溪中学有效运用单元复习，提升写作技能-高三英语单元写作复习课课例王晓庆平阳中学 “磨”出来的“精彩”以Unit3 The Million Pound Bank N

5、ote初始课与改进课对照分析为例李雅温州市第二十一中学梯度设问有效导学李来斌瓯海区第一高级中学高二英语书面表达评析教学的课例研究叶怡红乐清市虹桥中学英语有效学习之一小组合作学习陈金平乐清市虹桥中学以学生为主体的高中英语阅读课有效教学周小蕾苍南县灵溪中学给我一份学案，让我自由阅读宋丽泳洞头县第一中学发掘语言背后的文化内涵，让英语学习成为快乐之旅 M4U5 Theme parks- Fun and More than Fun 阅读教学课例曾真温州市第十九中学学生为主活动设计有效阅读余佩佩温州市第二十二中学先学后教有的放矢基于教材阅读文本的有效语法学习方式陈静

6、静洞头县第一中学唤醒学生沉睡的“我”张林燕瑞安市第八中学小组竞赛在英语阅读教学中的促进作用李智慧温州市第十四中学 7 让枯燥的课堂焕发“生机” Module 2 Unit2 The Olympic Games Period 2 Reading founderstanding 杨光温州市第二十一中学高中政治高中政治一等奖（一等奖（5 5 篇）篇）题题目目姓名姓名学校学校问出高三政治复习课的效率俞优红温州市第七中学课例：文以载道，学之有味以矛盾的同一性和斗争性为例张宗远温州市第十五中学学教共欣赏，疑难相与析陈发足苍南中学从“既定的”到“将成的”，一次“生成课堂”的实践

7、以“曼德拉的光辉岁月”文化塑造人生为例严晓清温州市第三中学 “问题驱动”促进“学习增值”-我国的宗教政策课例金涛温州中学二等奖（二等奖（1010 篇）篇）让智慧和高效花开并蒂谢美娟文成中学 “瘦身”，让课堂简约而不简单面对经济全球化课例王孝威平阳中学交出课堂还原学习 “我国的人民代表大会制度” 高三复习课例黄中段苍南县钱库第二高级中学建构主义视野中的抛锚式教学国际关系的决定性因素：国家利益教学课例陈茹温州市第二十一中学挖掘乡土资源构建生本课堂吴松波瓯海区三溪中学从合作走向卓越以民主决策：作出最佳选择为例金林朝永嘉县上塘中学善养情境设计三气提升学习有

8、效含量收入分配与社会公平新授课课例叶兰留苍南中学促进有效学习就学会“善问”与“善待问”色彩斑斓的文化生活课例缪正淡苍南县巨人中学又快又好科学发展曹曼靖温州市第十五中学把生活揉进知识用问题带出火花-发展生产满足消费从温州结婚消费看生产与消费的教学课例陈茜茜温州第二高级中学三等奖（三等奖（1515 篇）篇）公司的经营教学课例夏孟耸温州市第十二中学提高政治课堂教学效率从使用“导学案”开始庄明信洞头县第一中学促进课堂学习有效性市场配置资源课例周双永嘉县上塘中学巧借“导学案”，促进有效学习薛珍温州市第七中学以学为本，有效学习民主监督，守望公共家园饶去平苍南县龙港高

9、级中学发挥学生主体作用促进有效学习高一政治公司的经营新课徐晓珍永嘉县上塘中学水本无华，相荡而成涟漪政府的责任：对人民负责教学课例尤莉莉苍南县龙港第二高级中学明确任务、有效学习树立正确的消费观教学课例苏小芳温州市第五十八中学有效学习引领下的学生主体地位发挥的课例研究陈文跃温州市第五十一中学 8 合师生之智品“政治参与”之味董建雅瑞安市第九中学精心预设、立足生活以促有效学习记股票、债券和保险的教学课例陈苗苗瓯海区三溪中学创设有效情景优化政治课堂传统文化的继承教学课例汪海亮瓯海区第一高级中学依托生活案例促进有效学习郑秀女苍南县桥墩高级中学 “抓主干，明观点，巧构

10、思”走进社会主义市场经济复习有效性教学课例王斌雅温州市第二十二中学精选素材有效引领关于两点论和重点论的有效教学案例王细华瑞安市第八中学高中历史高中历史一等奖（一等奖（3 3 篇）篇）题题目目姓名姓名学校学校基于学情的复习课逻辑重构的尝试黄茜蕾温州市第十九中学基于学情的任务型学习复习教学课例中国社会主义建设道路的探索汪祥权温州市第二高级中学以问导学由学设问-二战后资本主义世界经济体系的形成高三复习课王少莲温州市第十五中学二等奖（二等奖（7 7 篇）篇）依托学案促进迁移，提高课堂复习实效史晨华瑞安中学挖掘教材主旨认知核心概念神权下的自我教学课例项祖

11、鹏苍南县钱库第二高级中学任务驱动科学留白促有效学习以巴黎和会与梦想同行课例严迎春温州市第二外国语学校初探历史课堂中小组讨论的有效性1787 年美国宪法陈小孩苍南县巨人中学精选史料，体悟历史-以马克思主义的诞生为例蔡孙丹温州市第二高级中学立足文本读图说史局部的反法斯西斗争教学课例尤乐乐温州市第十一中学我参与所以我真正理解选修三第六单元第 3 课和平与发展：当今世界的主题教学案例张素芬洞头县第一中学三等奖（三等奖（1010 篇）篇）精彩活动促生成，自分导学出真知金建曼永嘉县永临中学基于学生所学利用历史图片促进有效学习以人民版高中历史俄国十月社会主义革命一课为

12、例陈庆为苍南中学巧设有效学习任务，力构高效复习课堂郑小勇温州市第二十二中学巧设学习任务，构建灵动课堂物质生活和社会习俗的变迁教学课例周启梅乐清中学求真三步、细化教材、以促高效-以专制下的启蒙教学为例俞芬文成中学解读历史瞬间，点燃有效学习-利用趣味历史瞬间，激发学生主动探寻外交关系的突破吴雪凤文成县第二高级中学进有效学习的课堂变革新尝试以民国时期民族工业吴海怡温州市第二十一中学 9 的曲折发展为例细品教材，有味道！-汉代儒学教学课例黄玉温州中学学生自己的历史课堂潘琼英永嘉县永临中学知识拓展意在逻辑的疏通陈涛苍南县金乡高级中学高中地理高中地理一等奖（一等奖（

13、3 3 篇）篇）题题目目姓名姓名学校学校巧设活动，“生”动课堂陈小红温州市第二外国语学校课堂非预设生成举隅卢成树温州市第四中学基于教学案翻转课堂践行教学自主高效流域综合治理与开发以田纳西河流域为例陈飞瑞安中学二等奖（二等奖（7 7 篇）篇） Google earth 结合下的预设与生成高胜广温州市第八高级中学让预设与生成激情共舞李兆查温州市第八中学巧抓生成时机提高预设弹性徐少莉温州市第五十一中学实践乐趣与思维探索同行，构建高效课堂张德权平阳中学美丽的邂逅预设之精，生成之美刘达全平阳中学关注生成巧妙“提示”提升学习效率黄晓芸温州市第二高级中学精心导入，激发兴

14、趣，促进学习王秀丽平阳县第二中学三等奖（三等奖（1010 篇）篇）促进精彩生成的策略-以洋流为例金佳佳温州中学让学生先走一步，让“雾霾”解心中的“疑惑”吴喆龙湾区永强中学生活实例，让地理教学更精彩热力环流王苗苗温州市第二十二中学给学生一个有效学习的平台关阳阳龙湾区永强中学 “一纲多本”背景下的教材整合张笃敏苍南县灵溪第二高级中学深入挖掘活动课，实现自主学习林南温州市第十四高级中学 “点”与“拨”渗透学法指导陈艳丽温州市第五十一中学剥带抽丝理思路，化简为繁促高效陈其峰温州市第二十一中学构建地理模型展示思维过程江照相苍南县马站高级中学关注细节理性引导吴吟风文成中学高中物理高

15、中物理一等奖（一等奖（6 6 篇）篇）题题目目姓名姓名学校学校以创新实验促学生有效学习徐益勇温州市第五十一中学 10 关注过程体验，促进有效学习叶文义瑞安市第二中学眷注学情，成就有效教学-机械能守恒定律复习课例肖优优温州中学弹力教学课例张银华龙湾区永强中学体验探究鉴别建构包琳琪温州市第八高级中学基于学案的自主有效课堂课例仅“入射方向不同”的带电粒子在有界匀强磁场中的运动卓建银瑞安中学二等奖（二等奖（1111 篇）篇）巧设问题，探究概念质点、参考系和坐标系课例张勇瑞安市塘下中学基于学情真探究低碳实效深体验付贤明平阳中学落实“四基”教学目标，探索高效物理课堂弹

16、力教学课例分析薛施瑞安市第八中学电荷及其守恒定律张益龙湾区永强中学教学从知识产生的原点开始以自由落体运动的教学设计为例达文园洞头县第一中学让身边的实验点燃物理课堂摩擦力教学课例陈小玲瓯海区第一高级中学一轮复习中的“问题情景式”有效复习刘凯宇温州市第二十二中学优化探究引领学生习得规律周德松瓯海区三溪中学基于生活情境让复习课不再枯燥王宝钗平阳中学微格化教学以实现有效学习的尝试郑晔豪温州市第二十二中学运用演示实验促进有效学习以楞次定律为例吴从喜苍南县桥墩高中三等奖（三等奖（1818 篇）篇）有效复习，促进思维提升肖金梅平阳县鳌江中学基于“三四五六”模式下浅析高

17、中物理有效学习金雪蕾永嘉中学目标引领，科学探究，走向高效崔福先温州市第十四高级中学让探究帮着“去伪存真”-法拉第电磁感应定律教学课例黄乃涵温州市第二高级中学体验发现规律过程，生成碰撞思维火花林日玲平阳县第二中学摩擦力瞿胜昌乐清市虹桥中学注重实验教学促进有效学习力的合成课例分析黄海亮温州市第十一中学牛顿第三定律王斌乐清市虹桥中学顺学而导，学生在课堂中精彩绽放超重和失重课例夏建军温州市第十五中学理论联系实验，让学生更加自主吴海平温州市第十四中学探究感应电流产生的条件陈亮锹温州市第十五中学关于接触面上的弹力和摩擦力分析高中物理“促进有效学习”课例赵重阳温州市第二十

18、二中学从生活中来，到生活中去牛顿第三定律课例厉剑霄温州市第二十一中学关注实验教学体验生成实践二轮电学实验专题复习（伏安法测电阻）徐丽若温州市第二十一中学机械能守恒定律孙丁共苍南中学 11 促进有效学习牛顿第三定律课例赵伟峰乐清市外国语学校牛顿运动定律学考复习章晶晶温州中学弹力吴继翰苍南县求知中学让物理走进生活，打造高效理课堂牛顿第一定律课例南方方瑞安市第八中学高中化学高中化学一等奖（一等奖（5 5 篇）篇）题题目目姓名姓名学校学校化学反应的方向第一课时邵庆对温州中学优化整合实验，提高元素化合物学习的有效性李丽卿瑞安市第十中学大工业，小实验；舍低效，追高效

19、溴、碘的提取课例研究郑春秋瑞安市第八中学基于学情的常态课有效教学研究汪淑蕾温州市第五十一中学创设问题情境，提高教学有效性周金明文成中学二等奖（二等奖（1212 篇）篇）化学反应的限度教学课例张晓宇温州中学硫及硫化合物的性质与应用（会考复习）郑志聪永嘉县永临中学设计问题链，注重实验探究，促进有效教学徐燕玲乐清市第三中学 “翻转”化学课堂促进高三有效复习以氧化还原反应-一轮复习为例陈欲晓温州中学在合作中体验探究的快乐，在探究中分享合作的喜悦邹雪飞永嘉县翔宇中学从一般到特殊，从特殊到一般物质的分类与转化王丽艳永嘉县上塘中学研究物质的实验方法有效学习课例高塘督苍南中学从原点

20、再出发-喷泉实验原理及其应用教学课例黄少清永嘉中学化学反应中的热量变化课例郑慧瑞安市第六中学科学与生活双轨并行促化学课堂有效性金文怡温州市第十四高级中学巧用“问题导学” 翻转化学课堂“电解质溶液三大守恒”教学课例陈玲玲苍南县钱库第二高级中学在构网中巩固，在应用中提升建构“铝及其化合物复习课”有效学习模式柯琼夏永嘉县上塘中学三等奖（三等奖（1717 篇）篇）自主探究实验，自行获得性质郑秀环瑞安市第十中学问导与探究课例电能转化为化学能王旭琴乐清市白象中学以实验促进学生对有机化学的学习张莎莎文成中学实验探究建构实效课堂-化学能转化为电能教学课例陈凤芬苍南县钱库第二高级

21、中学乙醇黄子辉温州市第五十八中学 12 有效课堂从问题开始徐长青永嘉中学二氧化硫的性质与应用王露乐清市虹桥中学一堂基于建构主义学习理论的化学课从铝土矿中提取铝课例吴素芬瑞安市第八中学离子反应（第二课时）张淑珍温州市第十五中学氯气成分的探究张国琴温州市第十五中学影响化学反应速度因素肖云益苍南兴港高级中学尝试“二阶六步”教学，促进课堂有效学习盛定华乐清中学碳酸钠的性质李新燕龙湾区永强中学构建有效课堂，提升复习效率物质的分离与提纯复习课课例杨晓永嘉中学化学反应速率课例吴怡怡温州市第十四中学高中必修课拓展“二阶六步”自主学习课堂教学模式研究卤代烃的性质课例周甲钻温

22、州市第二高级中学有效教学之目标达成课例-电化学原理谢炳杰温州市第十五中学化学教学中探索发现教学法应用初探优化教学模式促进学生有效学习张孟文温州市第二高级中学高中生物高中生物一等奖（一等奖（4 4 篇）篇）课题课题姓名姓名学校学校铺设探索之路摘取生命之花神经系统的结构和功能促进有效学习课例苏金想苍南县钱库第二高级中学复习课中注重模型构建和转换，提高课堂效率以“生态系统的功能”复习课为例蒋义洁温州市第二高级中学有效预设动态生成尤永安温州市第五十一中学活动点烯激情，课堂关注生成细胞与能量苏玲玲永嘉县永临中学二等奖（二等奖（9 9 篇）篇）自辅，反“客”为“

23、主”张雨洁温州市第十四中学借模型构建促能力提升生态系统能量流动一轮复习黄西西平阳中学细胞呼吸课例分析基于布卢姆教育目标分类学（修订版）陈琼霜乐清市第三中学激活期待，别样精彩陈静碧温州市第十四中学信息的传递与细胞分化两条线索在特异性反应复习课中的应用何群平浙江省瑞安中学基于教材插图的有效教学策略陈盛想温州市第二外国语学校即时评价让生物复习课堂更有效细胞分裂高三一轮复习课课例潘年丽瑞安市第六中学化微观为直观，化静态为动态，提高生物课堂有效学习有丝分裂陈爱央文成县第二高级中学 13 促进学生有效学习的实践课实验复习课例实验的变量和步骤林银萍温州市第二十二中学三等

24、奖（三等奖（1212 篇）篇）果蝇身上的学问遗传的基本定律与伴性遗传复习课课例戚杏珠乐清市大荆中学基因突变交互式电子白板复习课课例丁德成龙湾区永强中学将课堂的自由还给每个学生人类遗传病的主要类型、遗传咨询与优生课例陈一波温州市第二外国语学校动起来，让学习更有效李红伟苍南县宜山高级中学有效读图思考练习解读植物光合作用曲线图的信息欧益枝泰顺中学借用橡皮泥理解微观的动态变化陈海棠温州市第二十二中学让学习情境化基因突变和基因重组课例韩小春苍南中学从“雾里看花“到一目了然郑淑芬文成中学巧用“问题式”教学法，促进有效复习特异性反应复习课课例王小娜浙江省瑞安中学精编学案促学

25、考巧用学具提成效染色体畸变课例邱峰乐清市外国语学校以探促学光合作用课例陈春芬苍南县钱库高级中学自主探究，让课堂“生”动孙玉飞瑞安市第六中学浅入深出，建构生成，有效学习，精彩课堂“细胞呼吸”（第一课时）教学课例艾剑鸣温州市第二十一中学高中通用技术高中通用技术一等奖（一等奖（3 3 篇）篇）课题课题姓名姓名学校学校项目教学法在生活和生产中的流程教学实践黄素琴苍南中学工艺教学课例娄云雷温州市第十四中学方案的构思方法张建攀侯莉莉乐清市第三中学二等奖（二等奖（5 5 篇）篇）工艺（第课时）课例黄晓洁乐清市第二中学用真实促成效许旭蕾乐清市柳市中学简单结构的设计邹

26、文才永喜县永临中学草图设计促进系统优化，提高学习有效性黄颖毅温州市第五十八中学用技能训练促技术思维的发展草图绘制课的有效性探索刘全永瑞安市第七中学三等奖（三等奖（8 8 篇）篇）把课堂还给学生结构与稳定性课例林希珠瑞安市第十中学以载体引导自主探究用实例形成知识网络金属加工余育君乐清市芙蓉中学 14 工艺文档型漏洞攻击研究报告 2017 年 7 月 3 日摘要本文研究的漏洞文档是指利用漏洞进行网络攻击的恶意文档，且此报告中统计的数据是 2017 年一月到六月的漏洞文档。通过对 360 互联网安全中心截获的漏洞文档抽样分析统计显示，攻击者最喜欢利用的载体为 Office

27、文档，占比高达 52.3%，其次为 RTF（Rich Text Format）文档占比达到了 31.5%。漏洞文档直接下载恶意程序是攻击者使用的主要方式，占据 68.5%，直接释放恶意程序比例达到了 24.1%。在含有伪装内容的文档中，跟经济相关的文档占据比例最大，达到了 15.7%，其次为教育科研机构，占比达到 9.6%。抽样统计显示，2017 上半年中 CVE-2017-0199 漏洞被利用的次数最多，相关的漏洞文档占比高达 35.5%，其次是 CVE-2012-0158 占据 17.5%。在 2017 上半年被利用的主要漏洞中，变化最为明显的是 CVE-2017-019

28、9，该漏洞在 2017 年前三个月未被公开，其占比为 0，但是被公开后其占比一路走高，在四月份集中爆发，占比超过了所统计漏洞文档的 60%。通过统计漏洞文档载荷下载或释放的恶意程序功能，发现远控木马和信息盗取木马依然是主流，分别达到了 36.6%和 29.3%。统计的恶意程序中，EXE 和 DLL 文件依然占据主导地位，分别占 70%和 16%。恶意程序开发语言中 C/C+占比最高，达 47.8%，其次为 C#语言，占 31.1%。漏洞文档载荷下载或释放的恶意程序中，攻击者最喜欢使用的程序名为 svchost.exe，占比高达 48.3%，其次为 winlogin.exe 占 1

29、3.7%。通过统计漏洞文档载荷直接访问或通过域名解析访问的两类 C&C 服务器，发现恶意程序作者所使用的 C&C 服务器地理位置主要集中在美国、俄罗斯以及德国，占比分别为 43.9%、15.2%和 7.0%。通过统计载荷直接使用域名访问 C&C 服务器的漏洞文档，发现攻击者更喜欢.com 的顶级域名作为 C&C 服务器，其占比高达 61.1%，尼日利亚国家的顶级域名.ng，占比为 10.4%。通过统计载荷直接使用 IP 地址访问 C&C 服务器的漏洞文档，发现攻击者偏向于使用 443、80 与 8080 端口，占比分别为 32.8%、25.4%和 18.3%。关键词：关键词：

30、漏洞文档、载荷、恶意程序、变化趋势、C&C 服务器、顶级域名、端口目录研究背景.1 第一章漏洞文档综述 2 一、漏洞文档类型分析.2 二、漏洞文档载荷类型分析.2 三、漏洞文档涉及领域分析.3 四、被利用的漏洞统计分析.4 五、被利用的漏洞变化趋势分析.5 第二章漏洞文档载荷综述.7 一、载荷功能分析.7 二、载荷文件类型分析.7 三、载荷编译器类型分析.8 四、载荷文件名分析.9 五、载荷 C&C 服务器地域分析10 六、载荷 C&C 服务器顶级域名分析10 七、载荷 C&C 服务器端口分析11 第三章典型漏洞文档案例分析 .12 一、经久不衰之 CVE-2012-0158.12 二、

31、稳如泰山之 CVE-2015-1641.13 三、不拘小节之 CVE-2015-2545.14 四、后起之秀之 CVE-2017-0199.16 第四章结尾 .18 1 研究背景由于反病毒技术快速发展及免费安全软件在全球的高度普及，恶意程序的传播变得越来越困难。自 2013 年以来，中国一直是全球个人电脑恶意程序感染率最低的国家。但是随着漏洞挖掘及利用技术越来越公开化，导致越来越多的黑客更加倾向于利用常见办公软件的文档漏洞进行恶意攻击，特别是在一些 APT（Advanced Persistent Threat）攻击中，更是体现得淋漓尽致。针对特定目标投递含有恶意代码的文档，安全意识薄

32、弱的用户只要打开文档就会中招。对于漏洞文档（本文所说的漏洞文档是指利用漏洞进行网络攻击的恶意文档），为何用户容易中招呢？2017 年 6 月，360 互联网安全中心的安全专家们对这一问题展开了深入的研究。总结了两部分原因，一、漏洞文档普遍采用了社会工程学的伪装方法，攻击者会进行精心构造文档名，结合鱼叉或水坑等攻击方式进行传播，并配有诱饵内容，极具欺骗性，导致很多用户中招；二、部分用户安全意识只停留在可执行的恶意程序上，对漏洞文档危害的防范意识较弱。鉴于此种情况，360 安全专家对 2017 上半年 PC 平台上漏洞文档进行深入的抽样分析研究，形成此报告，希望能够借此帮助更多

33、的用户提高安全意识，对漏洞文档有个直观感受，有效防范此类恶意攻击。 2 第一章漏洞文档综述一、漏洞文档类型分析通过对 360 互联网安全中心截获的漏洞文档抽样分析统计显示，攻击者最喜欢利用的载体为 Office 文档，占比高达 52.3%。由于 Office 文档类型众多，包括 doc、docx、xls、xlsx、ppt、pptx 等类型，攻击者选择的载体类型较多，并且 Office 用户群体庞大，因此此类漏洞文档占比最高。其中在 Office 系列中 Word 文档类型尤为突出，占据了 Office 文档的 81.6%，其次是 PowerPoint 文档，占据了近 10%。除了

34、 Office 文档之外，攻击者也喜欢利用 RTF（Rich Text Format）文档作为载体进行攻击，其占比也达到了 31.5%。很多 Office 漏洞需要成功运行恶意程序，会嵌入一些 OLE 对象进行堆喷射或用于绕过 ASLR（Address Space Layout Randomization）安全机制，而 Rich Text Format 文档很容易嵌入 OLE 对象，并且默认情况下 RTF 类型的文件系统会调用 Word 程序来解析，因此很多攻击者会使用 RTF 文档来制作漏洞利用样本，以便更好的触发漏洞运行恶意代码。此外，PDF 文档也在文档漏洞类型中占据 16.2%，

35、该类文档中通常包含一些恶意的 JavaScript 脚本，这些脚本会连接云端下载恶意程序。另外，研究过程中，我们观察到大量包含了漏洞文档的电子邮件，这是由于攻击者经常会通过电子邮件来进行传播，并且会精心构造邮件内容，以便诱导用户点击，提高中招比例。在此提醒用户，请不要轻易打开陌生人发来的文档，该文档很可能携带恶意载荷，导致自己蒙受损失。二、漏洞文档载荷类型分析这些经过攻击者精心伪装的漏洞文档一旦运行后，是怎么样运行恶意程序或代码呢？抽样统计显示，漏洞文档直接下载恶意程序是攻击者使用的主要方式，占据 68.5%，该方式是指攻击者在精心构造的样本中嵌入恶意链接，用户打开文档中招后就

36、会连接远端下 3 载恶意程序，从而导致用户计算机中毒。攻击者使用这种载荷的好处是可以随时在云端替换下载文件，以达到自己想要的目的。此外，漏洞文档直接释放恶意程序比例也较大，达到了 24.1%，该类方式主要是指攻击者直接将恶意程序捆绑在漏洞文档中，用户打开文档触发漏洞的同时，载荷会将捆绑的恶意程序运行起来，导致用户中招。这两类方式是现今漏洞文档中出现的主流方式。另外，下图中所列出的其他类型的载荷主要包括两部分，一、漏洞文档中的载荷主动连接远端特定 IP 和端口等待命令，以便进行不同操作；二、漏洞文档中的载荷选择在本地开放特定端口，等待攻击者主动连接，这种方式可能会因为防火墙不允许外

37、边的计算机主动连接该计算机而失效。因此在实际的漏洞文档中，载荷一般是主动连接远端地址，而不是等待远端来连接。这两类载荷跟上面所说的漏洞文档下载恶意程序载荷和漏洞文档释放恶意程序载荷有着较大区别，它是一段 shellcode，直接与远端服务器交互，不存在特定的恶意程序，此两种载荷经常出现在 PDF 漏洞文档中。三、漏洞文档涉及领域分析抽样分析统计显示，37.5%样本为空白内容，没有进行伪装，其中主要原因有两点： 1、为了节约攻击成本及缩短漏洞文档制作时间，比如攻击者通过邮件传播，他们只需要在邮件内容中诱导用户打开文档附件就能达到攻击效果，不需要添加文档伪装内容；2、很多真实的漏洞

38、利用样本是基于已有版本改进的，如原模版没有内容，那么部分攻击者不会再主动添加文档伪装内容，因为贸然添加了伪装内容，容易破坏漏洞文档的结构，导致漏洞利用失败。在含有伪装内容的样本中，跟经济相关的文档占据比例最大，达到了 29.3%，这类漏洞文档通常是用于攻击企业、公司，内容一般是涉及订单信息、材料价格等。其次是教育科研机构，占比达到 8.4%，这些文档内容通常涉及到高等学府的研究成果、高考成绩等。需要特别注意的是与政治相关的文档也占据了 5.3%，这部分文档内容涉及一些会议概要以及向政府部门提出的建议等，该类文档通常出现在 APT 攻击中。上面提到的这些漏洞文档通常会使用邮件传播

39、，并且邮件内容与文档名相符合，很多安全意识薄弱的用户很容易中招。 4 另外需要说明的是， “其他”类别占据了 7.1%，这部分内容涉及到成人、诱导执行、农业等方面。其中诱导执行相关的文档通常涉及到朋友之间聚会照片、个人信息等，此类对于敏感性不强或好奇心比较重的用户，很容易去点击这些文档导致自己蒙受损失。因此在这里也提醒用户对于不知来历的文档，应特别小心，否则很容易中招。四、被利用的漏洞统计分析通过对 360 互联网安全中心截获的漏洞文档抽样分析统计显示， CVE-2017-0199 漏洞被利用的次数最多，相关的漏洞文档占比高达 35.5%，这是由于该漏洞为 2017 年 3 月爆出

40、的新漏洞，很多用户未能及时打补丁，并且漏洞利用方法简单，漏洞影响范围广， Windows 操作系统之上的所有 Office 版本，包括在 Windows 10 上运行的最新 Office 2016 均受影响，危害程度极高。当用户打开包含该漏洞的文档（Microsoft Office RTF 格式）时，此漏洞会下载并执行包含 PowerShell 命令的 Visual Basic 脚本，往往攻击者只需要在 VB 脚本中配置自己的恶意程序地址就能构造一个恶意文档，由于攻击成本低且容易量产恶意文档，所以该漏洞深受攻击者喜爱。除了 CVE-2017-0199 之外，漏洞受欢迎程序排名第二位和第

41、三位分别是 CVE-2012- 0158 和 CVE-2015-1641，二者分别占比为 17.5%和 11.1%。虽然这两类漏洞已经存在较长时间，但由于利用稳定，漏洞利用方法成熟，并且漏洞影响版本较多，因此也很受攻击者青睐。此外，CVE-2015-2545 漏洞占比也较高，达到了 8.3%。其中比较特别的是 CVE-2010- 0188 漏洞，该漏洞为 PDF 漏洞，它在 PDF 漏洞中占比最高，在总的漏洞样本占比也达到了 6.5%，在该漏洞文档中载荷通常为上述所说的直接连接服务端等待命令或者本地开放端口等待攻击者主动连接。由于可利用的漏洞众多，因此“其他”漏洞文档占比达到了 9.

42、1%，其中包括了如 CVE-2016-7193、CVE-2013-3906、CVE-2008-2992 等漏洞。据下图统计显示，攻击者更偏向于使用影响版本广且利用稳定的漏洞来进行攻击，这样有助于提高用户中招概率，并且此类漏洞利用方法通常比较成熟，也能减少攻击者前期准备时间和攻击利用成本。 5 五、被利用的漏洞变化趋势分析下图给出了 2017 上半年被利用漏洞占比前五的变化趋势，变化趋势最为明显的是 CVE-2017-0199，该漏洞在 2017 年前三个月未被公开，其占比为 0，但是被公开后其占比一路走高，在四月集中爆发，占比超过了所统计五类漏洞文档的 60%，说明该漏洞公开披露后

43、被攻击者广泛利用，并且第五月继续呈现出上升趋势，但是在第六月逐渐下降，这跟漏洞补丁出现时间相关，虽然微软在漏洞披露后快速发布了漏洞补丁，但是部分用户并未意识到该漏洞的危害，打补丁存在延迟，这也是六月份漏洞文档才逐渐下降的原因。其次，在 360 互联网安全中心 2017 上半年截获的所有漏洞文档中，CVE-2012-0158 占据比例一直偏高，在第三月超过了总量的百分之六十，说明了 CVE-2012-0158 漏洞很受攻击者欢迎，被利用的次数居高不下，并且该漏洞也经常出现在 APT 攻击中。与此对应的还有 CVE-2015-1641 漏洞，该漏洞在前三个月一直处于缓慢上升阶段，但是在

44、四月份下降比较明显，这是由于攻击者将目标瞄准了其他高危漏洞，如 CVE-2017-0199 漏洞。另外， CVE-2015-2545 漏洞被利用的次数一直趋于稳定，并且此类漏洞文档一般是通过现有模版配置生成。另外需要注意的是 CVE-2010-0188 漏洞，该漏洞属于Adobe Reader漏洞，该漏洞在统计的漏洞中一直处在最低位置，由于Adobe Reader 更新很频繁，打补丁的速度很快，很多攻击者通过此漏洞攻击容易失败，这直接导致了该漏洞利用率较低。 6 7 第二章漏洞文档载荷综述一、载荷功能分析下图给出了漏洞文档载荷下载或释放的恶意程序功能占比，可以看出在所有的恶意程

45、序中，远控木马和信息盗取木马依然是主流，分别达到了 36.6%和 29.3%。远控木马会使用户计算机变成肉鸡，并随时窃取用户资料，并且攻击者通常也会使用肉鸡进行二次攻击，如 DDOS 等。信息窃取木马会获取计算机上保存的邮件账户密码和浏览器中保存的账户密码。此外，下载者占比也达到了 20%，这类程序通常是连接云端下载恶意程序，以便更好的控制用户计算机，或进行推广以达到盈利目的。需要特别引起注意的是，随着恶意软件的发展，越来越多的攻击者倾向于开始倾向于直接获取利益，这直接导致了敲诈者病毒的泛滥。2017 年上半年统计数据显示漏洞文档携带的敲诈者病毒占比达到 5.2%。敲诈者病毒是一

46、种通过加密用户重要文件向用户敲诈钱财的恶意程序，很多用户中招后，即使支付赎金，也未必能找回重要文件。在今年 5 月 12 日，爆发了“WanaCrypt0r” （永恒之蓝）勒索病毒，使全球多个国家的地区机构及个人电脑遭受攻击，据不完全统计，它在爆发后的几个小时内就迅速攻击了 99 个国家的近万台设备，并在大量企业组织和个人间蔓延，因此敲诈者病毒不容忽视，建议用户保持杀毒软件随时开启，不要打开来路不明的程序和文件。此外，在今年 6 月 27 日，爆发了 Petya 勒索病毒，使乌克兰、俄罗斯、印度、西班牙、法国、英国以及欧洲多国遭受袭击，其政府、银行、电力系统、通讯系统、企业以及机

47、场都受到了不同程度的影响。通过今年爆发的两次大规模敲诈者病毒中招事件，可以看出敲诈者病毒的盈利模式与技术模式越来越受攻击者喜爱，未来敲诈者病毒将越来越流行。二、载荷文件类型分析从下图的文件类型分析可以看出，漏洞文档释放或下载的文件类型也更加的多元化，从传统的 PE 文件到各种脚本文件，以及 JAR 文件。但是传统的 PE 文件依然是主流，其中 EXE 和 DLL 依然分别占 70%和 16%。另外不容忽视的是，木马作者对脚本的使用也越 8 来越多，其中 VBS 和 JS 分别占 7.1%和 3.1%。脚本文件有开发速度快，语法简单而且强大，易混淆等特点，因此在越来越多的漏洞利用样

48、本中被使用。除 PE 文件和脚本文件外，最近还捕获到 JAR 的远控样本。这种变化是由于杀毒软件对传统的 PE 文件的查杀越来越完善，对混淆加壳等技术手段处理后的 PE 类型的木马病毒也能很好的进行查杀。现在越来越多的计算机会安装 JAVA 运行环境，木马作者为了更好的躲避杀毒软件查杀而选择使用 JAVA 进行木马开发。虽然现在 JAVA 开发的样本依然较少，JAR 类型的恶意程序只占有 1.0%，但却代表了病毒木马的一种发展趋势，病毒木马类型已经不再是传统单一的 PE 文件形式了，而是多元化的发展。三、载荷编译器类型分析通过对漏洞文档载荷使用的编译器类型统计分析，发现主流的开发语言依然是 C/C+，排名第一，占比高达 47.8%。其次是 C#语言，占比为 31.1%，C#语言由于开发简单快速以及语法优雅等优点，近几年得到了快速发展，很多攻击者也开始选择该语言进行恶意程序开发，但是由于未处理过的 C#能够直接反编译，所以使用 C#进行开发恶意程序的攻击者基本还会进行混淆加壳，防止恶意程序被分析。与此同时，我们还发现越来越多的外壳程序开始

展开阅读全文