文件列表
尝试从批量(这里举例仅用5个)的文件中,聚类,分类,并设置高危的样本模型:
| 作者 | 保存者 | 修订号 | 时间 | FileHash | |||
|---|---|---|---|---|---|---|---|
| 创建 | 保存 | 打印 | 编辑 | ||||
| 张文 | 张凡 | 5 | 16.06.20 16:55 | 16.06.21 07:53 | 无 | 99317D536F9E720EE060C969A7840D09 | |
| 董秋平 | 刘雯璟 | 14 | 17.06.09 08:17 | 17.06.09 11:11 | 17.06.09 08:30 | 11 | 0E88B9E5B4125405B8110D69F9D098D7 |
| 卢优莎 | 投资公司文书管理员 | 5 | 17.10.12 11:22 | 17.10.12 11:22 | 17.09.25 12:13 | 0 | 69DA809771E46CB080F6677AEFF853F2 |
| 獨不懂的幸福 | 吴焜 | 2 | 22.07.24 21:29 | 无 | 0 | A8B3EA19EBA2A9A8FC38BCDB05B7B1DE | |
| BC6B9999C53B6433629AD5EEA1C9D64A |
特殊点
正常文档:编辑时间和次数,可能打印
正常的文档均需要修改,故有修改次数。以及修改需要时间造成的,创建时间和保存时间差距。
正常的文档还可能需要打印,故元数据中还有打印时间。
恶意文档:编辑时间短(或者0),无修改(修订号少),不打印
非强关联:KSOProductBuildVer
可能由于黑客的工作环境较为 私人/个人,没用用公司安装的正版Office(也可能是盗版的),常见的编辑器为WPS:
WPS创建:
模型
高危
基于文档元数据
- 有宏代码
- 无打印时间
-
时效性
-
基于宏代码
函数名为Private AutoOpen || Document_Open || Workbook_Open
宏代码中有字符串:
有宏代码
函数为AutoOpen
时效性中危
低危
仅有宏代码
注意:此处仅以恶意宏代码类型举例,具体的Office利用方式有很多,如远程模板注入,11882,DDE等不再本文讨论范围。
若有收获,就点个赞吧
0 人点赞
