V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
cnt2ex
V2EX  ›  程序员

有什么工具可以分析 windows 安装包安装了哪些文件?

  •  1
     
  •   cnt2ex · 2020-05-03 13:30:53 +08:00 · 4483 次点击
    这是一个创建于 1649 天前的主题,其中的信息可能已经有所发展或是发生改变。

    比如像 debian 上的 dpkg -L 一样,可以列出安装包在哪个装了哪些文件。

    题外话:之前装了 EasyConnect,结果发现这玩意还给我装了根证书(服务进程里会不断检查,删除证书之后过一会又会出现),结合之前 github 中间人攻击那件事,吓得我立马卸载了这玩意。结果卸载之后发现这东西装了一堆 sys 文件都没删干净。所以想知道有没有什么工具可以分析那种安装包的,还是说这堆文件都是程序动态生成的没法分析出来?

    19 条回复    2020-05-04 13:45:04 +08:00
    Whsiqi
        1
    Whsiqi  
       2020-05-03 13:33:21 +08:00 via Android
    国产就虚拟机吧
    Whsiqi
        2
    Whsiqi  
       2020-05-03 13:33:45 +08:00 via Android
    @geelaw 写过一个隔离软件的方案
    ShallowAi
        3
    ShallowAi  
       2020-05-03 13:40:42 +08:00 via Android
    火绒剑(在安装时开启监控,即可记录安装过程所进行的大部分操作),如果是安装后的话 还不清楚
    hanqi7012
        4
    hanqi7012  
       2020-05-03 13:45:34 +08:00 via iPhone
    拆包看脚本
    沙盒虚拟机
    MooRider
        5
    MooRider  
       2020-05-03 13:54:24 +08:00
    geek uninstall, 我记得会追踪软件的安装过程, 卸载的时候会帮你全部卸载掉
    baobao1270
        6
    baobao1270  
       2020-05-03 13:56:27 +08:00
    linux 能这么做的前提是“一切皆文件”

    Windows 很难全部记录,一般都是只记录文件操作、注册表操作…… 毕竟 Windows 藏东西的地方挺多
    yytsjq
        7
    yytsjq  
       2020-05-03 14:03:21 +08:00
    Total Uninstall 监控软件安装过程。

    Process Monitor 记录的更完整、详尽但是繁杂。
    2220209876
        8
    2220209876  
       2020-05-03 16:27:21 +08:00
    Total Uninstall 、RevoUninstaller 监控软件安装过程包含文件与注册表。
    annielong
        9
    annielong  
       2020-05-03 16:52:42 +08:00
    沙盘,所有的都会显示,包括一些需要注册的软件的验证位置都有
    Virace
        10
    Virace  
       2020-05-03 17:06:36 +08:00 via Android
    你只能在安装的时候监控,安装完的东西没有太好的办法!本质就是文件 注册表 这俩! 然而这俩都不好解决,比如程序后期生成的文件和完全没有任何特征的注册表!
    jerryrib
        11
    jerryrib  
       2020-05-03 17:53:16 +08:00
    xzc0001
        12
    xzc0001  
       2020-05-03 18:50:19 +08:00 via iPhone
    sandboxie 可以看到文件改变,其他的注册表之类的不知道
    boboliu
        13
    boboliu  
       2020-05-03 19:04:44 +08:00
    sysinternal 的 procmon,开好 filter,你就知道这个软件都做了什么
    inhzus
        14
    inhzus  
       2020-05-03 20:24:28 +08:00   ❤️ 1
    使用楼上说的那些软件之后,你再重新安装一遍这个软件不就可以知道它安装了什么了吗(逃
    30DReBYaadTBs4Gk
        15
    30DReBYaadTBs4Gk  
       2020-05-03 20:30:56 +08:00
    我记得微软在 github 有个一个工具,可以对安装前后注册表文件做一个镜像然后对比。
    30DReBYaadTBs4Gk
        16
    30DReBYaadTBs4Gk  
       2020-05-03 21:46:36 +08:00
    atempcode
        17
    atempcode  
       2020-05-04 09:18:17 +08:00
    MSI 安装包的话就 ORCA
    lff0305
        18
    lff0305  
       2020-05-04 09:28:55 +08:00
    Sandbox, total unstaller 之类
    VNq2NEKQnNoDhSGh
        19
    VNq2NEKQnNoDhSGh  
       2020-05-04 13:45:04 +08:00
    安装 HIPS,然后查日志。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1804 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 16:29 · PVG 00:29 · LAX 08:29 · JFK 11:29
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.