文件格式

我是微软文件格式的忠实粉丝，主要是因为它们提供了获取海量（通常未被充分发掘和利用）元数据的可能性。任何关注我一段时间或读过我博客的人都知道，我非常喜欢诸如注册表配置单元（以及具有相同结构的非注册表文件）以及LNK文件之类的文件格式。

历史上，许多不同的微软文件格式都包含大量且通常是致命的元数据。还有人记得二十多年前布莱尔政府遇到的MSWord元数据问题吗？我在WindowsIR博客中分享了一些与编码相关的信息，以该文件为例进行说明。

我看到了Maurice Fielenbach在LinkedIn上的一篇帖子，他在其中谈到了捆绑在MSI文件中的信息窃取程序。有趣的是，MSI文件是结构化存储文件，遵循OLE格式，尽管其流与MSWord文档和跳转列表文件不同。

我不是恶意软件逆向工程人员，因此没有专门用于解析此类文件的工具集。我通常从MiTeC结构化存储查看器开始，这是我以前用过的工具。在左侧的图片中，您可以看到在MSSV中解析并可见的SummaryInformation块。

如果您通读评论，会有人推荐使用MalCat作为工具来浏览或点击查看此文件格式及其他格式的结构。这看起来是一个很好的选择，老实说，如果您对恶意软件分析感兴趣，MalCat博客看起来也信息量很大。如果您有兴趣自己找一个样本进行研究，我在MalwareBazaar上找到了一个。

Maurice在他的LinkedIn帖子中说：“我强烈建议更深入地研究MSI文件格式本身，并熟悉诸如WiX之类的常见安装程序框架。” 我同意这一点，特别是考虑到test.msi图像显示创建应用程序是“WiX Toolset”。

无论您使用什么工具，也无论您身处或专注于网络安全的哪个领域，此类信息都可以扩展您的知识库，了解什么是可能的，或者为学习或技能拓展提供新的方向。这不仅对恶意软件或数字取证分析师有价值，对威胁情报分析师也是如此，因为这些信息可以为您正在开发的情报添加上下文和细节。

发布者：H. Carvey 发布时间： 2025年11月12日，星期三，上午9:46