现在我们知道，用户每次点击“启用编辑;或“启用内容”，Microsoft Office会将文件的路径作为注册表值添加到程序的TrustRecords项下。

　　我们还知道，如果将受信任文档的值数据的最后四个字节设置为 FF FF FF 7F它，则意味着用户启用了文档中的宏，这是计算机被感染的非常常见的媒介。

　　使用此信息，我们可以通过检查以下键下的值，然后收集文档以进行进一步的取证，来检查其宏已启用的潜在恶意文档。

　　HKEY_CURRENT_USERSoftwareMicrosoftOffice[office_version]WordSecurityTrusted DocumentsTrustRecords

　　HKEY_CURRENT_USERSoftwareMicrosoftOffice[office_version]ExcelSecurityTrusted DocumentsTrustRecords

　　此方法对于跟踪Emotet，TrickBot，勒索软件或RAT感染特别有用。

　　清除受信任的文档

　　由于TrustRecords永远记住用户的操作，并且将允许宏在以前启用的文档上自动运行，因此最好定期从注册表中删除Trusted Documents。

　　这可以通过登录脚本，计划任务或其他方法来完成。

　　用户还可以通过Microsoft Office信任中心清除其受信任文档，可以通过执行以下步骤来访问它们：

　　1.在Word或Excel中，单击“ 文件”，然后单击“ 选项”。

　　2.在“信任中心”下，单击“ 信任中心设置”按钮。

　　3.信任中心打开后，单击左列中的“ 受信任的文档”部分。

　　4.在“受信任的文档”部分中，单击“ 清除” 按钮，所有的“受信任的文档”将被清除。这也意味着，如果您打开以前受信任的文档，Word或Excel将提示您再次“启用编辑”或“启用内容”。

　　5.在其他Office应用程序中重复相同的过程。

　　6.关闭信任中心。

 2/2   首页 上一页 1 2