对安装程序进行逆向工程

Question

有人有这方面的经验吗？

具体来说，我想了解运行 MSI 时是否正在写入任何注册表项以及哪些文件位于何处。

我正在考虑使用 ProcMon 来查看运行时 msiexec 进程正在做什么通过它，但只是想我会在这里运行一下，看看是否有人有更好的方法。

Answer 1

有点生疏，但这里有一些（也许）有用的指示。

您可以使用一个名为 Orca 的工具编辑 MSI 文件。

还有 Wise for Windows，现在被称为其他名称，我不确定您能通过试用版做什么，它确实具有编辑 MSI 文件的功能。

我原本打算单独推荐 FileMon 和 RegMon，但我刚刚看到它们实际上已经合并到 ProcMon 中，这表明我是多么落后于时代:)

Answer 2

理想情况下，设置作者仅使用注册表和 COM 表，因此可以很容易地使用 Orca 查看正在执行的操作。然而，许多安装作者制作的安装数量少于idea安装数量。在这些情况下，我使用 InstallWatch 在前后对注册表进行快照以产生差异。

InstallWatch Pro

您会看到运行在机器，但你要学会过滤那些有经验的人。 （例如，安装没有更改加密种子或 MRU 和 ShellBags）