时间:2020-03-13 08:09:04 来源:系统堂 游览量: 次
Windows注册表帮助查找感染背后的恶意文档
如果Windows计算机感染了病毒,并且您试图查找其来源,那么检查该计算机上允许运行的恶意Microsoft Office文档的好地方。
勒索软件,下载器,RAT和信息窃取木马通常通过包含具有恶意宏的Word和Excel文档的网络钓鱼电子邮件进行分发。
当系统之家win10用户在Microsoft Office中打开这些文档之一时,取决于文档的保护或文档包含宏,除非用户单击“启用编辑”或“启用内容”按钮,否则Office将限制文档的功能。
当用户启用诸如编辑或宏之类的特定功能时,该文档将作为受信任文档添加到以下注册表项下的TrustRecords子项中,具体取决于它是Word还是Excel文档:
HKEY_CURRENT_USERSoftwareMicrosoftOffice[office_version]WordSecurityTrusted DocumentsTrustRecords
HKEY_CURRENT_USERSoftwareMicrosoftOffice[office_version]ExcelSecurityTrusted DocumentsTrustRecords
这样,Microsoft Office可以记住用户所做的决定,并且以后不再提示他们。
这也意味着,如果用户通过按相应的按钮允许编辑文档或宏,则Office在下次打开文档时将记住该决定,而不会再次询问。
好消息是,我们可以利用此信息来帮助我们查找具有已在计算机上启用的宏的Word和Excel文档。
信任Microsoft Office文件
为了说明文档如何成为“受信任的文档”,让我们逐步介绍如何使用网络钓鱼活动中分发的恶意宏打开实际的Word文档。
由于行为不端的最终目标是让您启用文档中的宏,因此它们通常会显示一条消息,通过单击“启用内容”按钮引导用户,以便执行宏并将恶意软件安装在计算机上。
在此特定示例中,恶意文档受到了保护,这意味着只有用户单击“启用编辑”按钮,才能对其进行编辑。此外,如果文档受到保护,则用户必须先启用编辑,然后才能进入提示以启用宏。
当用户单击“启用编辑”时,文档的完整路径将作为值添加到HKEY_CURRENT_USERSoftwareMicrosoftOffice[office_version]WordSecurityTrusted DocumentsTrustRecords键下。
它包含以某种方式受信任的每个文档的单独值;单击“启用编辑”或“启用内容”按钮。
创建的值的数据将由时间戳,其他一些信息组成,并以四个字节结束,这些字节确定了可信任的操作。在这种情况下,我们单击“启用编辑”,因此这四个字节将设置为 01 00 00 00。
既然已经启用了文档编辑功能,Word将提示用户是否要通过单击“启用内容”按钮来启用宏。
如果用户单击“启用内容”按钮,Office将更新该文档的TrustRecord,以指示此文档已允许使用宏,并且以后将始终允许使用宏。
这是通过将文档的TrustRecord的最后四个字节更改FF FF FF 7F为如下所示来完成的。
受信任文档的使用不仅适用于Word,还适用于其他Office应用程序。例如,如果用户单击Excel电子表格中的“启用编辑”或“启用内容”,则将在HKEY_CURRENT_USERSoftwareMicrosoftOffice[office_version]ExcelSecurityTrusted DocumentsTrustRecords注册表项下创建TrustRecord,如下所示。