本论文对两种旨在对乌克兰电网实施停电的恶意软件进行了深入分析。研究者设计并实现了一种新型沙箱环境，该沙箱能够模拟变电站中的各类网络拓扑、设备特性和通信协议，从而安全地执行专门针对变电站设备的恶意代码，并详细记录攻击者在变电站设备上可能执行的精确操作序列。通过对恶意软件的动态分析，论文揭示了此前未被记录的恶意行为，例如对MMS（制造报文规范）协议载荷的详细算法还原。此外，论文还探讨了未来类似恶意软件可能造成的不同影响，通过比较攻击不同目标（如断路器、保护继电器等）所产生的物理后果，说明攻击目标的差异会直接导致不同程度的电网扰动或停电范围。该研究的主要贡献包括：首次公开了Industroyer类恶意软件在IEC 61850环境下的具体协议交互细节；提供了一套可复用的沙箱仿真框架用于工控恶意软件分析；以及从攻击者视角系统化阐述了工控系统攻击的潜在影响路径。适合工控安全研究员、电力系统防御工程师及威胁情报分析师阅读。