Office测试

攻击者可能滥用Microsoft Office的“Office Test”注册表项以在受感染系统上获得持久性。存在一个Office Test注册表位置，允许用户指定一个任意DLL，该DLL将在每次启动Office应用程序时执行。此注册表项被认为是Microsoft在开发Office应用程序时用于加载DLL以进行测试和调试的。此注册表项在Office安装期间默认不会创建。（引用：Hexacorn Office Test）（引用：Palo Alto Office Test Sofacy） 存在用户和全局的Office Test功能注册表项，例如： * HKEY_CURRENT_USER\Software\Microsoft\Office test\Special\Perf * HKEY_LOCAL_MACHINE\Software\Microsoft\Office test\Special\Perf 攻击者可能会添加此注册表项并指定一个恶意DLL，该DLL将在每次启动Office应用程序（如Word或Excel）时执行。