win注册表协助查找感染背后的恶意文档

　　win注册表协助查找感染背后的恶意文档

　　如果win计算机感染了病毒，并且你试图查找其来源，那么检查该计算机上允许运行的恶意Microsoft office文档的好地方。

　　勒索软件，下载器，RAT和信息窃取木马通常通过包含具有恶意宏的word和Excel文档的网络钓鱼电子邮件进行分发。

　　当系统家园win7用户在Microsoft office中打开这些文档之一时，取决于文档的保护或文档包含宏，除非用户单击“启用编辑”或“启用内容”按钮，否则office将限制文档的功能。

　　当用户启用诸如编辑或宏之类的特定功能时，该文档将作为受信任文档添加到以下注册表项下的TrustRecords子项中，全部取决于它是word还是Excel文档：

　　HKEY_CuRREnT_usER\software\Microsoft\office\[office_version]\word\security\Trusted documents\TrustRecords

　　HKEY_CuRREnT_usER\software\Microsoft\office\[office_version]\Excel\security\Trusted documents\TrustRecords

　　这样，Microsoft office可以记住用户所做的决定，并且以后不再提示他们。

　　这也意味着，如果用户通过按相应的按钮允许编辑文档或宏，则office在下次打开文档时将记住该决定，而不会再次询问。

　　好消息是，你们可以利用此信息来协助你们查找具有已在计算机上启用的宏的word和Excel文档。

　　信任Microsoft office文件

　　为了说明文档怎么成为“受信任的文档”，让你们逐步教程怎么使用网络钓鱼活动中分发的恶意宏打开实际的word文档。

　　由于行为不端的最终目标是让你启用文档中的宏，因此它们通常会显示一条消息，通过单击“启用内容”按钮引导用户，以便执行宏并将恶意软件安装在计算机上。

　　在此特定示例中，恶意文档受到了保护，这意味着只有用户单击“启用编辑”按钮，才能对其进行编辑。此外，如果文档受到保护，则用户必须先启用编辑，然后才能进入提示以启用宏。

　　当用户单击“启用编辑”时，文档的全能路径将作为值添加到HKEY_CuRREnT_usER\software\Microsoft\office\[office_version]\word\security\Trusted documents\TrustRecords键下。

　　它包含以某种方式受信任的每个文档的单独值;单击“启用编辑”或“启用内容”按钮。

　　创建的值的数据将由时间戳，其他一些信息组成，并以四个字节结束，这些字节确定了可信任的操作。在这种处境下，你们单击“启用编辑”，因此这四个字节将配置为 01 00 00 00。

　　既然已经启用了文档编辑功能，word将提示用户是否要通过单击“启用内容”按钮来启用宏。

　　如果用户单击“启用内容”按钮，office将升级该文档的TrustRecord，以指示此文档已允许使用宏，并且以后将始终允许使用宏。

　　这是通过将文档的TrustRecord的最后四个字节更改FF FF FF 7F为如下所示来完成的。

　　受信任文档的使用不仅适用于word，还适用于其他office应用程序。例如，如果用户单击Excel电子表格中的“启用编辑”或“启用内容”，则将在HKEY_CuRREnT_usER\software\Microsoft\office\[office_version]\Excel\security\Trusted documents\TrustRecords注册表项下创建TrustRecord，如下所示。

 1/2    1 2 下一页 尾页