exe-自动安装

简介

许多病毒会以安装包的形式进行传播，一方面病毒作者可以修改合法软件的安装包实现捆绑安装，另一方面病毒可以将病毒本体隐藏在包内，避免被直接查杀。能够制作安装包的软件很多，本文将介绍几款主流软件及其制作的恶意软件的分析技巧。

1、MSI

许多软件的安装包都是.msi格式的，msi文件的能够像exe文件一样双击运行，但是查看msi文件的文件头却会发现，msi文件并不属于PE文件。

但是7z解析出来的数据里并不包含病毒主体，msi中还有很多数据没有被解析出来，我们需要借助专用的解析工具——lessmsi。
lessmsi的使用非常简单，你只需要把msi文件拖进lessmsi就可以了：

提取出的文件：

其中命名Binary._*的这个数据是一个PE文件，也就是病毒主体了。

2、NISI

NSIS（Nullsoft Scriptable Install System）是一个开源的 Windows 系统下安装程序制作程序。它提供了安装、卸载、系统设置、文件解压缩等功能。
NSIS 是通过它的脚本语言来描述安装程序的行为和逻辑的。因此，NSIS安装包的分析过程中，首先要分析的就是NSIS脚本。
这次我们使用的示例样本是银钩团伙的样本（MD5：6b4384b706d7fa925bdceeb5b21c855c）。
分析NSIS安装包文件需要使用定制的7z（下载地址：https://github.com/myfreeer/7z-build-nsis )进行解压：

NSIS中的区段，就是安装过程中的脚本。而回调函数则是在某些动作触发时会自动执行的函数过程，我们需要重点关注的是如下回调函数：

3、winrar

sfx自解压

winrar有一个强大的功能——制作自解压程序。
你可以通过如下操作创建自解压程序：

一些病毒还设置了解压密码，通过社会工程学的方式进行攻击，增加安全研究员的分析难度。
在没有设置解压密码的情况下，此类sfx自解压程序的分析很简单，你只需要用winrar打开就能看到病毒本体以及程序在解压过程中会执行的命令：

当受害者通过WinRAR直接解压该文件便会触发该漏洞，从而释放内置的恶意程序（startups.exe）到用户windows系统的启动目录内，从而使得下次重启系统的时候该恶意程序能自动启动运行。

4、Inno Setup

Inno Setup 是一个免费的安装制作软件，小巧、简便、精美是其最大特点，支持pascal脚本。
通过分析程序的字符串特征，很容易判断出程序是不是Inno Setup制作的安装包程序：

5、Autolt

AutoIt是一种脚本语言，能够完成任何基于 Windows 或 DOS 的简单任务。它最初被设计用来自动完成安装那些其它方法不能自动安装的软件。目前主流的版本为v3版本，又叫antoit3，简称AU3。
AU3功能十分强大，不仅可以模拟鼠标、键盘各种事件，提供了对大多数win32 API的封装，还可以调用offic的VBA、宏等命令。AutoIt功能越强大，病毒作者越喜爱，其用途早已脱离了自动安装，已经变成了一门功能完备的脚本了。
AutoIt类型的病毒有两种攻击方式，一种是直接使用脚本进行攻击，另一种是使用安装包——独立可执行文件进行攻击。攻击脚本可以是AU3源码脚本，后缀一般是au3，也可以是编译后的脚本，后缀一般是a3x。

在图中， WinddowsUpdater.exe就是合法的AutoIt解释器，只是由病毒作者重命名以隐藏可执行文件的真实身份。WinddowsUpdater.zip，它实际上不是压缩存档，而是已编译的AutoIt脚本。脚本的文件扩展名无关紧要，可以设置为任何内容。该特定脚本的内容如图所示，是a3x脚本。

反编译

AutoIt的反编译，主要有AutoDec和Exe2Aut这两款工具，两款工具各有千秋。
AutoDec能够既能对exe进行反编译，又能单独对a3x文件进行反编译。其反编译后会生成au3文件，方便查阅。但是其不能反编译AutoIt3.3.10.0及之后版本的程序。

Exe2Aut仅能反编译exe文件，不能反编译a3x文件，但是它支持最新版本AutoIt3程序的反编译。

来源：孤客浪子