应急响应 - Tips 2022-04-02 11:07:03 浏览数 (3) 如何证明恶意的宏被启用和点击了?HKEY_LOCAL_MACHINEUSERDATSoftwareMicrosoftOffice<VERS><PROGRAM>SecurityTrusted DocumentsTrustRecords 只寻找最后四个字节是 "FF FF FF 7F "的值。这些文件已经启用了宏程序 microsoft office security 0 人点赞 上一篇:分享雷军22年前编写的代码