近日伴侣收到一封来自海外的垂钓邮件委托我资助分析。因此我对垂钓者身份和打击路径进行了一次详细的溯源。大抵摸清了打击者组织身份、打击手法以及动机。本次溯源事情主要是通过提取打击者控制的肉鸡处事器、网站访谒日志、打击者后门特征等。关联分析这些日志和特征最终得到打击者的身份信息。本文以流水账的方法详细记录整个溯源过程，包孕分析手法和思路，以供安适研究人员参考。

这是一封冒充 Microsoft Outlook WebApp 暗码过期的垂钓邮件。

Received: from sysmailout1.platon.sk (unknown [85.248.228.17])

by bizmx16.qq.com (NewMx) with SMTP id

for <test@test.cn>; Thu, 29 Nov 2018 06:56:41 +0800

X-QQ-SPAM: true

X-QQ-FEAT: jfJxHuYZxOCSeMM7azx75jXNlqmrApsudtGuMpkas54ZAC17UV7M4b/R5+7i0

PKMg4QGPsKjsZDM+XUXd0s8kb9W0jCArNfxa3+HTU9vKECwH9fbHyzA2+de0ctDM9+ziJ5w

1BJI2Ppc9DVh5DYSq8ySLhcBVRj6sBsJefxrSztWrgzKi58wWFCv7LPgqOAXS+VVMyVipbT

fHFacZXmdB00T62nXv8xQociZvHE+8ELBoHVgcA3ZWA7p4no8o1e0Z8ShUvX2P5FwhvXPLZ

QUg8HNiMhXk5NEtQVC0Y7R9JwKV2VeKybQbg==

X-QQ-MAILINFO: Mms3jrkBGwMrz972clMUbgsPqZ0t5EGjrqWV2rMFcEfTT5Y9lunbPCtSM

4HaaK+iUBVTvuth5bvdEvVKkuiTcOnkJ0t3khnTYcRGfQmEIZI+ZrNXlT/8QxjWMjOsiHkK

yGbgfv5Gx9Qr65abnNzXymg=

X-QQ-mid: bizmx16t1543445804ti4ex7suw

X-QQ-CSender: www-data@m7web1.platon.sk

X-QQ-ORGSender: www-data@m7web1.platon.sk

X-KK-mid:bizmxp6t1543445804t9ne878su

Received: from m7web1.platon.sk (m7web1.platon.sk [85.248.229.150])

by sysmailout1.platon.sk (Postfix) with ESMTP id 8EFCC217002E

for <test@test.cn>; Wed, 28 Nov 2018 23:56:38 +0100 (CET)

Received: by m7web1.platon.sk (Postfix, from userid 33)

id 89364400A3A1; Wed, 28 Nov 2018 23:56:38 +0100 (CET)

To: test@test.cn