时间:2020-03-13 08:09:04 来源:系统堂 游览量: 次
现在我们知道,用户每次点击“启用编辑;或“启用内容”,Microsoft Office会将文件的路径作为注册表值添加到程序的TrustRecords项下。
我们还知道,如果将受信任文档的值数据的最后四个字节设置为 FF FF FF 7F它,则意味着用户启用了文档中的宏,这是计算机被感染的非常常见的媒介。
使用此信息,我们可以通过检查以下键下的值,然后收集文档以进行进一步的取证,来检查其宏已启用的潜在恶意文档。
HKEY_CURRENT_USERSoftwareMicrosoftOffice[office_version]WordSecurityTrusted DocumentsTrustRecords
HKEY_CURRENT_USERSoftwareMicrosoftOffice[office_version]ExcelSecurityTrusted DocumentsTrustRecords
此方法对于跟踪Emotet,TrickBot,勒索软件或RAT感染特别有用。
清除受信任的文档
由于TrustRecords永远记住用户的操作,并且将允许宏在以前启用的文档上自动运行,因此最好定期从注册表中删除Trusted Documents。
这可以通过登录脚本,计划任务或其他方法来完成。
用户还可以通过Microsoft Office信任中心清除其受信任文档,可以通过执行以下步骤来访问它们:
1.在Word或Excel中,单击“ 文件”,然后单击“ 选项”。
2.在“信任中心”下,单击“ 信任中心设置”按钮。
3.信任中心打开后,单击左列中的“ 受信任的文档”部分。
4.在“受信任的文档”部分中,单击“ 清除” 按钮,所有的“受信任的文档”将被清除。这也意味着,如果您打开以前受信任的文档,Word或Excel将提示您再次“启用编辑”或“启用内容”。
5.在其他Office应用程序中重复相同的过程。
6.关闭信任中心。