应急响应 - Tips

2022-04-02 11:07:03 浏览数 (3)

如何证明恶意的宏被启用和点击了?

HKEY_LOCAL_MACHINEUSERDATSoftwareMicrosoftOffice<VERS><PROGRAM>SecurityTrusted DocumentsTrustRecords

只寻找最后四个字节是 "FF FF FF 7F "的值。

这些文件已经启用了宏程序

0 人点赞