当前位置:主页 > Win7系统教程 >

win注册表协助查找感染背后的恶意文档

发布日期:2017-12-04    作者:大师系统    来源:http://www.udashixitong.com

  win注册表协助查找感染背后的恶意文档

  如果win计算机感染了病毒,并且你试图查找其来源,那么检查该计算机上允许运行的恶意Microsoft office文档的好地方。

  勒索软件,下载器,RAT和信息窃取木马通常通过包含具有恶意宏的word和Excel文档的网络钓鱼电子邮件进行分发。

  当系统家园win7用户在Microsoft office中打开这些文档之一时,取决于文档的保护或文档包含宏,除非用户单击“启用编辑”或“启用内容”按钮,否则office将限制文档的功能。

  当用户启用诸如编辑或宏之类的特定功能时,该文档将作为受信任文档添加到以下注册表项下的TrustRecords子项中,全部取决于它是word还是Excel文档:

  HKEY_CuRREnT_usER\software\Microsoft\office\[office_version]\word\security\Trusted documents\TrustRecords

  HKEY_CuRREnT_usER\software\Microsoft\office\[office_version]\Excel\security\Trusted documents\TrustRecords

  这样,Microsoft office可以记住用户所做的决定,并且以后不再提示他们。

  这也意味着,如果用户通过按相应的按钮允许编辑文档或宏,则office在下次打开文档时将记住该决定,而不会再次询问。

  好消息是,你们可以利用此信息来协助你们查找具有已在计算机上启用的宏的word和Excel文档。

  信任Microsoft office文件

  为了说明文档怎么成为“受信任的文档”,让你们逐步教程怎么使用网络钓鱼活动中分发的恶意宏打开实际的word文档。

  由于行为不端的最终目标是让你启用文档中的宏,因此它们通常会显示一条消息,通过单击“启用内容”按钮引导用户,以便执行宏并将恶意软件安装在计算机上。

  在此特定示例中,恶意文档受到了保护,这意味着只有用户单击“启用编辑”按钮,才能对其进行编辑。此外,如果文档受到保护,则用户必须先启用编辑,然后才能进入提示以启用宏。

  当用户单击“启用编辑”时,文档的全能路径将作为值添加到HKEY_CuRREnT_usER\software\Microsoft\office\[office_version]\word\security\Trusted documents\TrustRecords键下。

  它包含以某种方式受信任的每个文档的单独值;单击“启用编辑”或“启用内容”按钮。

  

  创建的值的数据将由时间戳,其他一些信息组成,并以四个字节结束,这些字节确定了可信任的操作。在这种处境下,你们单击“启用编辑”,因此这四个字节将配置为 01 00 00 00。

  

  既然已经启用了文档编辑功能,word将提示用户是否要通过单击“启用内容”按钮来启用宏。

  如果用户单击“启用内容”按钮,office将升级该文档的TrustRecord,以指示此文档已允许使用宏,并且以后将始终允许使用宏。

  这是通过将文档的TrustRecord的最后四个字节更改FF FF FF 7F为如下所示来完成的。

  

  受信任文档的使用不仅适用于word,还适用于其他office应用程序。例如,如果用户单击Excel电子表格中的“启用编辑”或“启用内容”,则将在HKEY_CuRREnT_usER\software\Microsoft\office\[office_version]\Excel\security\Trusted documents\TrustRecords注册表项下创建TrustRecord,如下所示。

 1/2    1 2 下一页 尾页

栏目专题推荐

电脑系统推荐

系统教程推荐

友情链接:

本站发布的系统与软件仅为个人学习测试使用,不得用于任何商业用途,否则后果自负,请支持购买微软正版软件!

Copyright @ 2022 大师系统版权所有