CVE-2010-2568 漏洞是 WindowsShell LNK 文件处理漏洞，对应的 Microsoft 安全公告是 MS10-046 。此漏洞影响到补丁发布之前的所有版本 Microsoft Windows 系统。 LNK 文件，也就是快捷方式，其文件结构如下所示： 111.jpg 此结构中的部分字段由文件头中的标志来指是否存在。 Shell32.dll 在显示 LNK 文件的图标时要把它的图标显示出来，整个函数调用过程如下图所示： 44.jpg 对于普通的快捷方式文件， shell32.dll 会从图标文件字符串中解析出图标。但对于控制面板中的快捷方式，因为它们没有图标文件字符串字段， shell32.dll 是直接从文件偏移 0x7A 的位置读取图标索引来解析。当这个图标索引为 0 时，它会调用 LoadLibraryW 去加载对应的可执行文件来获取图标，由此导致 DLL 被执行。下面是一个典型恶意样本的截图。 222.jpg 值得注意的是，利用此漏洞的恶意样本通常通过移动硬盘来传播。由于移动硬盘的盘符不固定， 但是快捷方式中的路径必须是绝对路径，因此恶意样本通常会创建多个快捷方式（可能多达 26 个，每个盘符一个），以便能触发漏洞。