用户执行: 文档隐写式触发执行

文档隐写式触发执行（Document Steganography-Triggered Execution）是通过在常规办公文档中嵌入隐蔽恶意代码的新型攻击技术。攻击者利用高级隐写术将恶意载荷嵌入到文档的元数据、版本信息或冗余编码空间，结合特定操作条件（如文档滚动浏览、打印预览、字体渲染）触发执行。该技术突破传统宏病毒依赖显式用户启用的限制，通过文档渲染过程中的内存漏洞或软件功能缺陷实现零点击触发，显著提升攻击隐蔽性。

该技术的匿迹特性源于"载体合法性"与"触发隐蔽性"的协同作用。首先，精心构造的恶意文档在文件哈希、数字签名、格式规范等静态特征层面与正常文档完全一致，甚至可通过文档校验工具验证。其次，利用文档渲染引擎的复杂性，将触发条件与常规操作绑定：例如通过文档页眉页脚的特殊排版触发内存越界，或利用字体解析漏洞在文本选择时执行shellcode。攻击载荷采用分片存储策略，将完整代码分散在文档多个结构体中，仅在触发时进行动态重组，规避静态检测。高级变种还具备环境感知能力，通过检测沙箱环境、杀毒软件进程等特征决定是否激活攻击链。这种深度利用软件合法功能缺陷的攻击方式，使得传统基于行为规则或特征匹配的防御体系面临严峻挑战。