Как найти скрытую угрозу в .msi: практическое руководство по анализу установочных скриптов

Автор На чтение 10 мин Просмотров 2 Опубликовано

Вы скачали установщик программы, но что-то не дает покоя? Имя файла кажется подозрительным, источник сомнительный, или антивирус молчит, хотя интуитивно кажется, что «тут что-то нечисто». Самый распространенный формат установщиков в мире Windows — это .msi (Microsoft Installer). Многие считают их безопасными, потому что они подписаны или выглядят как системные, но именно в этом формате часто маскируются сложные угрозы, которые не запускаются сразу, а внедряются в систему тихо.

В этой статье мы не будем говорить о том, что «нужно быть осторожным». Мы разберемся, как самому, своими руками и без покупки дорогого софта, открыть установочный пакет .msi, заглянуть внутрь и понять, что он действительно делает, прежде чем нажать кнопку «Установить». Это навык, который отличает обычного пользователя от того, кто контролирует безопасность своего рабочего места.

Содержание
  1. Почему именно .msi и почему это опасно?
  2. Инструментарий: что нужно под рукой
  3. Этап 1: Быстрая проверка и вскрытие «на скорую руку»
  4. Вскрытие через архиватор
  5. Этап 2: Глубокий анализ с помощью Orca
  6. Таблица CustomAction (Пользовательские действия)
  7. Таблица LaunchCondition (Условия запуска)
  8. Таблица Registry (Реестр)
  9. Этап 3: Анализ поведения (Сандбокс)
  10. Вариант А: Локальная виртуальная машина
  11. Вариант Б: Онлайн-анализаторы
  12. Сравнение: Чистый установщик vs Вредоносный
  13. Частые ошибки при анализе
  14. Сценарии: Как выбрать стратегию проверки
  15. Ситуация 1: Вы скачали обновление драйвера или драйвер с сайта производителя
  16. Ситуация 2: Вам прислали файл в мессенджере или по почте (ссылка на «документ», «инвентаризацию»)
  17. Ситуация 3: Вы разработчик и хотите проверить свой установщик
  18. Практические рекомендации: Алгоритм действий
  19. Итог

Почему именно .msi и почему это опасно?

Формат .msi — это база данных. Представьте, что это архив, но очень структурированный. В нем хранятся инструкции: «скопируй файл сюда», «добавь запись в реестр», «запусти скрипт при установке». Главная проблема в том, что Windows доверяет этому формату. Если вы кликаете по нему, система начинает выполнять команды, записанные внутри, часто даже не спрашивая у вас подробностей.

Злоумышленники используют это, чтобы:

  • Скрыть исполняемый код: Вместо того чтобы запускать вирус .exe, они заставляют установщик распаковать его и запустить в фоновом режиме.
  • Маскировать действия: Установщик может создавать скрытые папки, прописывать себя в автозагрузку или менять настройки безопасности.
  • Использовать уязвимости: Некоторые старые методы установки имеют уязвимости, позволяющие выполнить произвольный код.

Ваша задача — увидеть это до момента установки. Мы пойдем путем «вскрытия» пакета, анализа его содержимого и проверки поведения.

Инструментарий: что нужно под рукой

Вам не нужен суперкомпьютер. Достаточно базового набора утилит, которые есть у любого специалиста по безопасности, но часто игнорируются обычными пользователями.

  1. 7-Zip или WinRAR: Да, обычные архиваторы. Формат .msi технически совместим с архивными форматами, что позволяет открыть его как папку. Это самый быстрый способ увидеть, что внутри.
  2. Orca (Microsoft Orca): Это официальный инструмент от Microsoft для редактирования баз данных MSI. Он позволяет увидеть таблицы, скрипты и команды установки в их оригинальном виде.
  3. Process Monitor (ProcMon): Утилита от Sysinternals. Она покажет реальное поведение программы в момент установки: какие файлы она трогает, какие ключи реестра меняет.
  4. Анализаторы сборок (например, EXEinfo PE или просто свойства файла): Чтобы проверить цифровую подпись.

Не стоит сразу бежать искать сложные системы сканирования. Начнем с того, что можно сделать за 5 минут.

Этап 1: Быстрая проверка и вскрытие «на скорую руку»

Прежде чем запускать сложные инструменты, посмотрите на файл глазами и руками. Откройте свойства файла (ПКМ — Свойства). Есть ли вкладка «Цифровые подписи»?

Важно: Наличие подписи не гарантирует безопасность. Злоумышленники часто крадут сертификаты легальных компаний или используют самоподписанные сертификаты, которые Windows не может проверить, но и не блокирует сразу.

Вскрытие через архиватор

Самый простой способ заглянуть внутрь — перетащить файл .msi в окно 7-Zip. Если он откроется, вы увидите структуру файлов.

На что смотреть сразу:

  • Название файлов: Если внутри установщика «Word», а среди файлов вы видите upd.exe, svchost.exe, script.vbs или файлы с расширением .bat — это красный флаг. Легальный установщик обычно содержит только свои файлы и библиотеки.
  • Странное количество файлов: Если установщик крошечного размера (например, 50 Кб), но внутри архиватора показывает файлы общим весом в 200 Мб, значит, они сжаты или зашифрованы. Это нормально, но требует внимания. Если же там лежит огромный бинарный файл без названия — это подозрительно.
  • Вложенные исполняемые файлы: Если внутри .msi лежат другие .exe файлы, которые не являются основными компонентами программы, а просто «спрятаны», это часто признак загрузчика (dropper).

Этот метод хорош для первичного отсева, но он не показывает логику работы. Мы видим файлы, но не видим команд.

Этап 2: Глубокий анализ с помощью Orca

Чтобы понять, что сделает установщик, нужно посмотреть на его «мозги». Здесь нам понадобится Orca. Это база данных, где хранятся таблицы с инструкциями. Не пугайтесь, мы не будем редактировать файл, мы будем его читать.

Откройте .msi в Orca. Слева вы увидите список таблиц. Нас интересуют конкретные строки, где прописано поведение.

Таблица CustomAction (Пользовательские действия)

Это самое важное место. Здесь хранятся команды, которые не являются стандартной установкой файлов. Нажмите на таблицу CustomAction.

Что ищем:

  • Запуск командной строки: Ищите строки, содержащие cmd.exe, powershell.exe, reg.exe. Если установщик запускает консоль, он делает что-то неочевидное. Например, скачивает файл из интернета или меняет настройки системы.
  • Инструменты скачивания: Если вы видите команды, вызывающие curl, wget или вызовы URLDownloadToFile — это почти наверняка вредоносное ПО. Легальные установщики обычно содержат файлы внутри себя и не скачивают их в процессе установки (или делают это явно через экран загрузки).
  • Запуск скриптов: Обращайте внимание на вызовы скриптов .vbs, .js, .ps1.

Таблица LaunchCondition (Условия запуска)

Здесь прописаны условия, при которых установка разрешена. Иногда вредоносные пакеты используют эту таблицу, чтобы проверить, запущен ли антивирус, и если да — прервать установку или скрыть вредоносный компонент.

Таблица Registry (Реестр)

Посмотрите, какие записи в реестр пытается вписать установщик. Если вы видите ключи в разделах HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, это значит, что программа добавится в автозагрузку. Само по себе это не всегда плохо, но в сочетании с другими факторами — тревожный знак.

Этап 3: Анализ поведения (Сандбокс)

Иногда код внутри .msi сжат или зашифрован, и статический анализ (просто просмотр таблиц) не дает ответа. Тогда нужно запустить файл и посмотреть, что он делает. Но делать это на своей рабочей машине категорически нельзя.

Есть два пути: локальный сандбокс или онлайн-сервисы.

Вариант А: Локальная виртуальная машина

Если у вас есть VirtualBox или VMware, создайте «чистую» машину. Установите туда Windows, ничего не настраивайте под себя. Запустите .msi там. Откройте ProcMon.

Настройте ProcMon на фильтрацию процесса msiexec.exe. Теперь запускайте установку. Следите за тем, куда обращается процесс.

Красные флаги поведения:

  • Попытка доступа к папкам с документами, паролями, браузерами.
  • Подключение к странным IP-адресам или доменам (например, update-service-123.ru или бесплатным хостингам).
  • Попытка остановить службы антивируса.
  • Создание файлов с непонятными именами в системных папках (AppData, Temp, System32).

Вариант Б: Онлайн-анализаторы

Если у вас нет машины, используйте сервисы вроде VirusTotal, Hybrid Analysis или Any.run. Загрузите туда .msi файл.

Важный нюанс: Антивирусы в VirusTotal часто реагируют на «сигнатуры». Если файл новый (zero-day), антивирусы могут молчать. Поэтому смотрите на Behavioral Report (отчет о поведении). Даже если антивирусы не нашли угрозу, если отчет показывает, что файл создал ключ автозагрузки и скачал другой файл, — это вредоносное ПО.

Сравнение: Чистый установщик vs Вредоносный

Чтобы вам было проще ориентироваться, давайте составим таблицу различий. Это поможет быстро оценить подозрительный файл.

Параметр проверки Чистый легальный установщик Подозрительный / Вредоносный .msi
Цифровая подпись Есть, валидная, от известной компании. Подтверждена сертификатом. Нет, истекла, недействительная или от «неизвестного издателя».
Внутренние файлы Только файлы самой программы (.dll, .exe, ресурсы). Вложения: скрипты (.vbs, .bat), утилиты для скачивания, другие архивы.
CustomActions в Orca Копирование файлов, создание ярлыков, стандартные настройки. Вызов cmd.exe, powershell, reg add, скачивание из сети.
Требования Требует стандартные права пользователя или явное согласие UAC. Пытается получить админские права под видом обязательного условия.
Поведение при запуске Медленно распаковывает файлы, показывает прогресс-бар. Мгновенно завершает работу (скрытая установка) или долго висит без ответа (скачивает вредонос).
Размер файла Соответствует функционалу (примерно). Слишком маленький для заявленных возможностей (загрузчик) или аномально большой.

Частые ошибки при анализе

Даже опытные люди могут ошибиться. Вот самые распространенные ловушки, в которые попадают при проверке .msi.

Ошибка 1: Слепое доверие названию.
Многие думают, что если файл называется windows_update.msi, это обновление системы. Это не так. Злоумышленники копируют имена файлов, чтобы запутать пользователя. Проверка должна быть всегда.

Ошибка 2: Игнорирование скриптов.
Вредоносный код часто не зашит в само .msi, а загружается через скрипт при установке. Если в CustomAction есть строка вызова скрипта, но сам скрипт в файле лежит как текст, вы можете увидеть его содержимое. Но если скрипт сжат, он может быть скрыт. Всегда проверяйте наличие вызовов PowerShell.

Ошибка 3: Запуск без изоляции.
Никогда не запускайте подозрительный .msi на рабочей машине «просто посмотреть, что будет». Если это будет загрузчик вируса, он пропишется в систему, и вам придется переустанавливать Windows. Используйте виртуальную машину или онлайн-песочницу.

Ошибка 4: Ожидание 100% результата от антивируса.
Антивирусы — это реактивный инструмент. Они находят то, что уже известно. Новый, целевой вредоносный .msi может пройти проверку VirusTotal, но при этом содержать вредоносные команды. Поведенческий анализ важнее.

Сценарии: Как выбрать стратегию проверки

Не все файлы требуют одинакового уровня проверки. Вот как поступать в разных ситуациях.

Ситуация 1: Вы скачали обновление драйвера или драйвер с сайта производителя

Здесь доверие высокое, но проверка обязательна.
Что делать:
1. Проверьте цифровую подпись. Если она валидная и от производителя — можно устанавливать.
2. Откройте файл в 7-Zip. Если там только драйверы (.sys) и утилита установки — ок.
3. Если видите скрипты — лучше загрузить файл на VirusTotal.

Ситуация 2: Вам прислали файл в мессенджере или по почте (ссылка на «документ», «инвентаризацию»)

Здесь риск критический.
Что делать:
1. Никогда не открывайте на рабочем ПК.
2. Загрузите на Any.run (это онлайн-песочница). Она покажет видео процесса установки.
3. Если в отчете видно скачивание еще одного файла — удалите исходник и сообщите в IT-безопасность.

Ситуация 3: Вы разработчик и хотите проверить свой установщик

Если вы делаете софт, вам нужно убедиться, что ваш пакет не содержит ошибок или уязвимостей.
Что делать:
1. Используйте Orca, чтобы проверить таблицы InstallExecuteSequence. Убедитесь, что вы не запускаете лишние процессы.
2. Проверьте, не устанавливается ли ваш софт с правами администратора без необходимости (User Account Control).

Практические рекомендации: Алгоритм действий

Если вы столкнулись с подозрительным .msi прямо сейчас, следуйте этому чек-листу:

  1. Остановитесь. Не запускайте файл двойным щелчком.
  2. Проверьте источник. Где вы его взяли? Официальный сайт? Ссылка из письма? Если это не официальный сайт — риск 99%.
  3. Откройте в архиваторе. Посмотрите на содержимое. Есть ли там странные .exe, .vbs, .bat файлы? Если да — риск высокий.
  4. Проверьте подпись. Свойства файла -> Цифровые подписи. Если подписи нет — не доверяйте.
  5. Загрузите в песочницу. Используйте VirusTotal или Hybrid Analysis. Посмотрите на отчеты поведения, а не только на счетчик антивирусов.
  6. Принимайте решение. Если есть хоть малейшее сомнение — удалите файл. Вы ничего не потеряете, если не установите программы, но потеряете много, если заразитесь.

Итог

Проведение анализа вредоносных компонентов в установочных скриптах .msi — это не магия, а последовательная проверка фактов. Формат .msi прозрачен для тех, кто умеет читать его структуру. Основная угроза скрывается не в самом файле, а в командах, которые он исполняет при запуске.

Вам не нужно быть хакером, чтобы защитить себя. Достаточно знать, что:
1. Файл .msi можно открыть как архив.
2. Таблица CustomAction в Orca показывает истинную суть установки.
3. Онлайн-песочницы видят то, что скрыто от глаз.
4. Наличие цифровой подписи не гарантирует безопасность, а отсутствие скриптов и скачиваний — признак чистоты.

Помните: лучшая защита — это сомнение. Если файл кажется вам странным, значит, скорее всего, вы правы. Не дайте установщику начать работу, пока не убедитесь, что он работает на вас, а не против вас.

Информация в данной статье носит ознакомительный характер и предназначена для обучения навыкам цифровой гигиены. Использование описанных методов анализа может потребовать технических знаний. Операторы должны понимать риски выполнения непроверенного кода. При работе с критически важными данными рекомендуется использовать изолированные среды и консультироваться со специалистами по информационной безопасности.

Оцените статью
PEFile — Безопасность и технологии простым языком
© 2026 PEFile — Безопасность и технологии простым языком