gpt4 book ai didi

powershell - msiexec.exe - 嵌入

转载 作者:行者123 更新时间:2023-12-05 05:58:46 29 4
gpt4 key购买 nike

我正在使用基于云的 EDR 平台来监控客户端受损网络上发生的进程。我最近经常看到的是使用选项“-Embedding”调用的 msiexec.exe

C:\Windows\System32\MsiExec.exe -Embedding 35507F61C46FB5B70D1543A9D335C298B 

msiexec 文档(找到 here)没有提及此选项。谁能解释一下它的用法?

最佳答案

你可以从中找到一些信息<强> Aaron Stebner 这里:https://learn.microsoft.com/en-us/archive/blogs/astebner/more-info-about-how-msi-custom-actions-work-behind-the-scenes

摘录如下:

msiexec.exe -Embedding (GUID) - this is the custom action server (indicated by the -Embedding switch)

自定义操作:自定义操作是在安装期间运行的自定义代码段。它们可以是脚本或二进制形式 - dllexevbscripts, etc... 危险接近。有了更高的权限,他们基本上可以做“任何事情”,但通常他们没问题。

msiexec.exe:任何MSI文件在安装过程中都会有无数个msiexec.exe进程, 并且一些 MSI 文件可以触发其中的很多。这与 MSI 中存在多少自定义操作以及可能还有许多其他因素有关。也总会有一个 client msiexec.exe 进程user context 和一个 server msiexec.exe process running as LocalSystem(除非服务器静默运行 - 然后没有用户部分安装)。这些进程运行实际安装本身。

技术花絮:我相信 msiexec.exe 进程会在进程列表中保留大约 10 分钟安装后。这至少曾经是正常行为(事情会改变)。 Old blog from Heath Stewart on this .

恶意软件:从恶意软件的角度来看。自定义操作进程肯定会被感染,但大多数情况下不会,防病毒软件可能会因为误报而决定对其进行处理。系统模式自定义操作以临时管理员权限提升运行,并且肯定可以用几乎任何东西感染计算机。非提升的 MSI 文件可以通过在启动时启动它们来安装木马和其他类型的恶意软件。但是,提升的自定义操作可以安装驱动程序和服务以及各种疯狂行为。

Anti-Virus Blues:MSI 文件的一个常见问题是,防病毒软件可能会决定在 super 隐藏的 MSI 缓存文件夹中隔离 MSI:C :\Windows\安装程序。此文件夹受到高度保护,不应被任何人访问,在这里搞乱通常会导致无法卸载的 MSI 包(包被缓存以方便卸载、修改和修复)。 There are some hacks and fixes for such un-uninstallable packages .此外,there are other reasons why the MSI source can be missing (系统还原怪异是我怀疑的罪魁祸首之一)。

城市 key :远远超出了您的实际要求:如果您确定 MSI 已被感染,我会犹豫是否调用其卸载程序。 .我想这不言而喻。如果它运行在高处,它就有“城市的 key ”。使用 Microsoft FixIt 工具(在上面的链接答案中找到)或其他一些方法来删除安装。或者更好:我想重建你的盒子 - 好像你还不够忙?


链接:

关于powershell - msiexec.exe - 嵌入,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/68366445/

29 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com