今天接觸Windows Installer的ORCA編輯器,得到的一些想法 [論壇 - Ubuntu 套件打包]


正在瀏覽:   1 名遊客


 到底部   前一個主題   下一個主題  [無發表權] 請登錄或者註冊



今天接觸Windows Installer的ORCA編輯器,得到的一些想法
會員一級
註冊日期:
2008/8/28 1:19
所屬群組:
已註冊使用者
等級: 3
HP : 0 / 63
MP : 7 / 2079
EXP: 52
離線
雖然在Ubuntu站上發有關微軟的文章,可能有些人不以為然,但是我只是純粹針對今日所得心得做點分享而已。
話說今天在解決某個軟體的.msi安裝套件中被植入後門軟體,而被防毒軟體偵測到禁止安裝並在解毒無效下準備將之刪除,使我想到是否有工具能直接開啟.msi安裝套件直接將包含在其中的病毒程式予以移除。其想法是基於,原本的軟體安裝套件在被病毒作者植入病毒程式碼時,應該是採用非破壞性的方式掛載在.msi的安裝套件,亦即這種手法是在安裝程式中另外加入Script去另外進行病毒程式安裝動作,而防毒軟體無法對.msi安裝套件進行解毒的原因,是因為絕大部分的使用者電腦並不是拿來做為程式開發用途,所以其電腦上也不會有相關的軟體供防毒軟體用來直接編輯.msi套件中的Script,因為解決這種病毒就是要靠這些開發軟體來重新編輯.msi檔。
所以呢,我也在網路上搜尋了一下,也讓我找到如何直接編輯.msi檔,就是用微軟的SDK套件中的ORCA套件去編輯.msi檔,安裝完打開那個被植入後門病毒的.msi檔,雖然全部介面都是英文,而且該.msi檔也是英文版的,但是在查詢每個子項目時,可以看到和病毒程式名稱很類似的項目,所以這應該證實了我之前所猜測的,病毒作者是採用非破壞性的方式,把安裝病毒程式的Script加入其中,還有病毒程式碼也一併加入,再重新打包成.msi套件後散佈到網路上讓不知情的使用者下載安裝。
寫到這裡,再來的解毒之道,應該就是再仔細判斷.msi檔中有關病毒程式的Script的實際位置,接著就只要把該Script刪除後再重新打包成.msi檔,其解毒工作大致完成,要徹底一點不會再被防毒攔截當然是要把病毒程式碼一併從.msi安裝套件中移除。

最近一星期密集接觸關於Ubuntu和Linux的作業程序,和今天在Windows上對於.msi檔的認識,我個人覺得未來Linux大流行後,恐怕也會有更多病毒作者開始針對Linux作業系統編寫病毒程式,而某些方式可能也會參考Windows上的.msi包裝病毒程式碼的手法吧,畢竟在Linux上要取得安裝包遠比Windows還要方便多太多,隨便下個sudo apt-cache search XXXX就能找到不少類似的安裝包可供下載,雖然Linux上有相當多的人在進行系統維護工作,但是我個人覺得一旦使用者爆炸性的成長後,相對的安全性問題也會浮出枱面,只是時間早晚的問題而已,只是我個人不知道是不是Linux上的病毒程式較容易解決罷了,這就是我今日的心得。

2008/9/5 19:57
應用擴展 工具箱
回復: 今天接觸Windows Installer的ORCA編輯器,得到的一些想法
版主
註冊日期:
2006/12/24 16:54
所屬群組:
網站管理員
已註冊使用者
等級: 33
HP : 0 / 816
MP : 524 / 30918
EXP: 67
離線
deb製作過程也需要認證安全金鑰
詳情看
http://wiki.ubuntu-tw.net/index.php?title=DebPackaging
雖然我覺得文中用MD5是有點不安全

套件庫本身也要有通過認證的key,否則會出現警告
我是不知道這些作法會不會增加安全性啦....
不過有總比沒有好

2008/9/5 21:03
就算你百分之一百認定某人是渣滓中的渣滓,請仍然展示你的冷靜、體諒、尊重。

* My Blog
* My Twitter <- follow me!
* My Plurk
FoolproofProject:
* KomiX latest stable: v0.1.0 (Comics Viewer)
* Khopper latest stable: v0.4.2 (Audio Converter with CUE Sheet Support)
* PicKing latest stable: v0.2.3 (File Picking)
應用擴展 工具箱


 [無發表權] 請登錄或者註冊


可以查看帖子.
不可發帖.
不可回覆.
不可編輯自己的帖子.
不可刪除自己的帖子.
不可發起投票調查.
不可在投票調查中投票.
不可上傳附件.
不可不經審核直接發帖.