msiexec.exe -嵌入
msiexec.exe -Embedding
我正在使用基于云的 EDR 平台来监控客户端受损网络上发生的进程。我最近经常看到的是 msiexec.exe 使用选项“-Embedding”
调用
C:\Windows\System32\MsiExec.exe -Embedding 35507F61C46FB5B70D1543A9D335C298B
msiexec 文档(找到 here)没有提及此选项。谁能解释一下它的用法?
这不是我们的选择。
基于 NT OS,MsiExec 运行多次。一次在用户上下文中,另一个作为 windows 服务。还有其他过程取决于自定义操作模拟。嵌入是客户端(用户)端如何将会话传递到服务器(服务)端的过程的一部分。
您可以从中找到一些信息
Aaron Stebner here: https://docs.microsoft.com/en-us/archive/blogs/astebner/more-info-about-how-msi-custom-actions-work-behind-the-scenes
这是摘录:
msiexec.exe -Embedding (GUID) - this is the custom action server (indicated by the -Embedding switch)
自定义操作:自定义操作是安装期间 运行 的自定义代码段。它们可以是脚本或二进制形式 - dll、exe、vbscripts, etc... 危险接近。有了更高的权限,他们基本上可以做“任何事情”,但通常他们没问题。
msiexec.exe:会有无数个msiexec.exe安装任何 MSI 文件期间的进程,某些 MSI 文件可以触发其中的很多进程。这与 MSI 中存在多少自定义操作以及可能还有许多其他因素有关。在user context和中总会有一个client msiexec.exe process运行ning server msiexec.exe process 运行ning as LocalSystem(除非服务器是 运行 静默 - 那么就没有用户部分到安装)。这些进程 运行 实际安装本身。
技术花絮:我相信 msiexec.exe 过程仍然存在安装后大约 10 分钟的进程列表。这至少曾经是正常行为(事情会改变)。 Old blog from Heath Stewart on this.
Malware:从恶意软件的角度来看。自定义操作进程肯定会被感染,但大多数情况下不会,防病毒软件可能会因为误报而决定对其进行处理。系统模式自定义操作 运行 提升了临时管理员权限,几乎可以用任何东西感染计算机。非提升的 MSI 文件可以通过在启动时启动它们来安装木马和其他类型的恶意软件。但是,提升的自定义操作可以安装驱动程序和服务以及各种疯狂行为。
Anti-Virus Blues:MSI 文件的一个常见问题是,防病毒软件可能会决定在超级隐藏的 MSI 缓存文件夹:C:\Windows\Installer。此文件夹受到高度保护,不应被任何人访问,在这里搞乱通常会导致无法卸载的 MSI 包(包被缓存以方便卸载、修改和修复)。 There are some hacks and fixes for such un-uninstallable packages. Additionally, (系统还原异常是我怀疑的罪魁祸首之一)。
城市钥匙:已经远远超出了您实际提出的问题:如果您确定 MSI 已被感染,我会犹豫是否调用它的卸载程序……我想这不言而喻。如果它 运行 升高,它就有“城市的钥匙”。使用 Microsoft FixIt 工具(在上面的链接答案中找到)或其他一些方法来擦除安装。或者更好:我想重建你的盒子 - 好像你还不够忙?
链接:
- Comprehensive list of ways to uninstall MSI packages
- Why are there multiple msiexec.exe instances?
我正在使用基于云的 EDR 平台来监控客户端受损网络上发生的进程。我最近经常看到的是 msiexec.exe 使用选项“-Embedding”
调用C:\Windows\System32\MsiExec.exe -Embedding 35507F61C46FB5B70D1543A9D335C298B
msiexec 文档(找到 here)没有提及此选项。谁能解释一下它的用法?
这不是我们的选择。
基于 NT OS,MsiExec 运行多次。一次在用户上下文中,另一个作为 windows 服务。还有其他过程取决于自定义操作模拟。嵌入是客户端(用户)端如何将会话传递到服务器(服务)端的过程的一部分。
您可以从中找到一些信息 Aaron Stebner here: https://docs.microsoft.com/en-us/archive/blogs/astebner/more-info-about-how-msi-custom-actions-work-behind-the-scenes
这是摘录:
msiexec.exe -Embedding (GUID) - this is the custom action server (indicated by the -Embedding switch)
自定义操作:自定义操作是安装期间 运行 的自定义代码段。它们可以是脚本或二进制形式 - dll、exe、vbscripts, etc... 危险接近。有了更高的权限,他们基本上可以做“任何事情”,但通常他们没问题。
msiexec.exe:会有无数个msiexec.exe安装任何 MSI 文件期间的进程,某些 MSI 文件可以触发其中的很多进程。这与 MSI 中存在多少自定义操作以及可能还有许多其他因素有关。在user context和中总会有一个client msiexec.exe process运行ning server msiexec.exe process 运行ning as LocalSystem(除非服务器是 运行 静默 - 那么就没有用户部分到安装)。这些进程 运行 实际安装本身。
技术花絮:我相信 msiexec.exe 过程仍然存在安装后大约 10 分钟的进程列表。这至少曾经是正常行为(事情会改变)。 Old blog from Heath Stewart on this.
Malware:从恶意软件的角度来看。自定义操作进程肯定会被感染,但大多数情况下不会,防病毒软件可能会因为误报而决定对其进行处理。系统模式自定义操作 运行 提升了临时管理员权限,几乎可以用任何东西感染计算机。非提升的 MSI 文件可以通过在启动时启动它们来安装木马和其他类型的恶意软件。但是,提升的自定义操作可以安装驱动程序和服务以及各种疯狂行为。
Anti-Virus Blues:MSI 文件的一个常见问题是,防病毒软件可能会决定在超级隐藏的 MSI 缓存文件夹:C:\Windows\Installer。此文件夹受到高度保护,不应被任何人访问,在这里搞乱通常会导致无法卸载的 MSI 包(包被缓存以方便卸载、修改和修复)。 There are some hacks and fixes for such un-uninstallable packages. Additionally,
城市钥匙:已经远远超出了您实际提出的问题:如果您确定 MSI 已被感染,我会犹豫是否调用它的卸载程序……我想这不言而喻。如果它 运行 升高,它就有“城市的钥匙”。使用 Microsoft FixIt 工具(在上面的链接答案中找到)或其他一些方法来擦除安装。或者更好:我想重建你的盒子 - 好像你还不够忙?
链接:
- Comprehensive list of ways to uninstall MSI packages
- Why are there multiple msiexec.exe instances?