Windows注册表帮助查找感染背后的恶意文档

　　如果Windows计算机感染了病毒，并且您试图查找其来源，那么检查该计算机上允许运行的恶意Microsoft Office文档的好地方。

　　勒索软件，下载器，RAT和信息窃取木马通常通过包含具有恶意宏的Word和Excel文档的网络钓鱼电子邮件进行分发。

　　当系统之家win10用户在Microsoft Office中打开这些文档之一时，取决于文档的保护或文档包含宏，除非用户单击“启用编辑”或“启用内容”按钮，否则Office将限制文档的功能。

　　当用户启用诸如编辑或宏之类的特定功能时，该文档将作为受信任文档添加到以下注册表项下的TrustRecords子项中，具体取决于它是Word还是Excel文档：

　　HKEY_CURRENT_USERSoftwareMicrosoftOffice[office_version]WordSecurityTrusted DocumentsTrustRecords

　　HKEY_CURRENT_USERSoftwareMicrosoftOffice[office_version]ExcelSecurityTrusted DocumentsTrustRecords

　　这样，Microsoft Office可以记住用户所做的决定，并且以后不再提示他们。

　　这也意味着，如果用户通过按相应的按钮允许编辑文档或宏，则Office在下次打开文档时将记住该决定，而不会再次询问。

　　好消息是，我们可以利用此信息来帮助我们查找具有已在计算机上启用的宏的Word和Excel文档。

　　信任Microsoft Office文件

　　为了说明文档如何成为“受信任的文档”，让我们逐步介绍如何使用网络钓鱼活动中分发的恶意宏打开实际的Word文档。

　　由于行为不端的最终目标是让您启用文档中的宏，因此它们通常会显示一条消息，通过单击“启用内容”按钮引导用户，以便执行宏并将恶意软件安装在计算机上。

　　在此特定示例中，恶意文档受到了保护，这意味着只有用户单击“启用编辑”按钮，才能对其进行编辑。此外，如果文档受到保护，则用户必须先启用编辑，然后才能进入提示以启用宏。

　　当用户单击“启用编辑”时，文档的完整路径将作为值添加到HKEY_CURRENT_USERSoftwareMicrosoftOffice[office_version]WordSecurityTrusted DocumentsTrustRecords键下。

　　它包含以某种方式受信任的每个文档的单独值;单击“启用编辑”或“启用内容”按钮。

　　创建的值的数据将由时间戳，其他一些信息组成，并以四个字节结束，这些字节确定了可信任的操作。在这种情况下，我们单击“启用编辑”，因此这四个字节将设置为 01 00 00 00。

　　既然已经启用了文档编辑功能，Word将提示用户是否要通过单击“启用内容”按钮来启用宏。

　　如果用户单击“启用内容”按钮，Office将更新该文档的TrustRecord，以指示此文档已允许使用宏，并且以后将始终允许使用宏。

　　这是通过将文档的TrustRecord的最后四个字节更改FF FF FF 7F为如下所示来完成的。

　　受信任文档的使用不仅适用于Word，还适用于其他Office应用程序。例如，如果用户单击Excel电子表格中的“启用编辑”或“启用内容”，则将在HKEY_CURRENT_USERSoftwareMicrosoftOffice[office_version]ExcelSecurityTrusted DocumentsTrustRecords注册表项下创建TrustRecord，如下所示。

 1/2    1 2 下一页 尾页