文件格式

我是MS文件格式的忠实粉丝，主要因为它们提供了大量（通常未被充分利用和开发）元数据的可能性。任何关注我一段时间或阅读过我博客的人都知道，我非常喜欢诸如注册表配置单元（以及具有相同结构的非注册表文件）以及LNK文件等文件格式。

从历史上看，许多不同的MS文件格式都包含重要且常常是致命的元数据。有人还记得二十多年前布莱尔政府遇到的MSWord元数据问题吗？我在WindowsIR博客中分享了与编码相关的信息，使用该文件作为示例。

我看到了Maurice Fielenbach在LinkedIn上的一篇帖子，他在其中谈到了捆绑在MSI文件中的信息窃取程序。有趣的是，MSI文件是结构化存储文件，遵循OLE格式，尽管具有不同的流，与MSWord文档和JumpList文件相同。

我不是恶意软件逆向工程专家，因此没有专门用于解析这类文件的工具集。我通常从MiTeC结构化存储查看器开始，这是我以前使用过的东西。在左侧的图像中，您可以看到在MSSV中解析并可见的SummaryInformation块。

如果您阅读评论，MalCat被推荐作为运行或点击查看此文件格式及其他文件格式结构的工具。这看起来是一个很好的可能性，老实说，如果您对恶意软件分析感兴趣，MalCat博客看起来也非常有信息量。如果您有兴趣自己处理样本，我在MalwareBazaar上找到了一个。

Maurice在他的LinkedIn帖子中说：“我强烈建议更深入地研究MSI文件格式本身，并熟悉常见的安装程序框架，如WiX。“我同意这一点，特别是考虑到test.msi图像显示创建应用程序是"WiX Toolset”。

无论您使用什么工具，无论您身处或专注于网络安全的哪个领域，像这样的信息都可以扩展您的知识基础，了解什么是可能的，或者为学习或技能扩展提供新的方向。这不仅对恶意软件或数字取证分析师有价值，对威胁情报分析师也有价值，因为这些信息可以为您正在开发的情报添加上下文和粒度。