如何证明恶意的宏被启用和点击了?
HKEY_LOCAL_MACHINE\USERDAT\Software\Microsoft\Office\<VERS>\<PROGRAM>\Security\Trusted Documents\TrustRecords
只寻找最后四个字节是 "FF FF FF 7F "的值。
这些文件已经启用了宏程序
本文分享自 Khan安全攻防实验室 微信公众号,前往查看
如有侵权,请联系 cloudcommunity@tencent.com 删除。
本文参与 腾讯云自媒体同步曝光计划 ,欢迎热爱写作的你一起参与!