プロセスのスクリプト

監視対象のマシンで不審なVBAスクリプトを検出するには、ESET InspectでOffice 365バージョン1808とマクロ検査の有効化が必要です。マクロ検査を有効にするには、HKEY_CURRENT_USER\Software\Microsoft\Office\%VERSION%\Common\Security\MacroRuntimeScanScopeレジスターの値を1に設定するか、次のコマンドラインスクリプトを実行します。

powershell.exe -command "if (Test-Path -Path HKCU:\Software\Microsoft\Office) { foreach ($reg_path in Get-ChildItem -Path HKCU:\Software\Microsoft\Office | Where-Object {($_.Name.Contains(\".\"))}) { $reg_sub_path = (Join-Path -Path $reg_path.Name -ChildPath '').Replace(\"HKEY_CURRENT_USER\", \"HKCU:\"); $reg_sub_path_common = (Join-Path -Path $reg_path.Name -ChildPath 'Common').Replace(\"HKEY_CURRENT_USER\", \"HKCU:\"); $reg_sub_path_common_security = (Join-Path -Path $reg_path.Name -ChildPath 'Common\Security').Replace(\"HKEY_CURRENT_USER\", \"HKCU:\"); if (!(Test-Path -Path $reg_sub_path_common)) { New-Item –Path $reg_sub_path –Name \"Common\"; } if (!(Test-Path -Path $reg_sub_path_common_security)) { New-Item –Path $reg_sub_path_common –Name \"Security\"; } Set-ItemProperty -Path $reg_sub_path_common_security -Name \"MacroRuntimeScanScope\" -Value 1; }}"