面对恶意邮件攻击，我们就只能默默忍受被他攻击，连自我保护能力都没有谈什么反抗？让人痛快的是，如今有了解决办法，逆向破解键盘记录器，进入攻击者邮箱。

这一切要从一次恶意邮件攻击活动开始。下图为我们最近监测到的一个以恶意文件为发送附件的邮件攻击，请注意邮件信息中的英语写作水平是多么差劲，其实，这也是恶意邮件的一个特点，还请收件人提高警惕。

邮件样本

在这封邮件中其附件以“.doc”文件扩展名结尾，但其实这是一个RTF（富文本）格式文件，文件被嵌入了一个精心构造的cve-2010-3333漏洞利用脚本，漏洞产生原因为微软office文件格式转换器在处理RTF文件“pfragments”参数属性时存在栈缓冲区溢出，远程攻击者可以借助特制的RTF数据执行任意代码，该漏洞又名”RTF栈缓冲区溢出漏洞”，但微软官方已在5年前就已修复了漏洞。

被加密混淆的RTF文件

在上图中你可以看到，漏洞利用代码中的shellcode字段被模糊变形以避免杀毒软件的检测，在经过代码提取、清理和解密之后，我确定了漏洞利用代码的shellcode将会从一个未知域名volafile.io下载并执行某些文件。