前言

https://www.bilibili.com/video/BV1aF411C76k AliceInCradle installer演示

觀察該視頻可以發(fā)現(xiàn)一些奇怪的事情：為什么一個安裝程序需要安裝證書？

安裝證書一般來說需要UAC，而UAC并不是每個用戶都擁有的。

而且，我和納百技Nepkey共實現(xiàn)了 3 個安裝器，其中并沒有需要安裝證書的，這引起了我的注意。

考慮到諾艾爾Noel剛退出了SNS，而且中文運營把我拉黑了，我無法聯(lián)系上開發(fā)人員，便寫了這個分析的東西。

另外說一下，我以前沒有研究過這方面的東西，所以這個分析報告也不專業(yè)，大家看個樂子就好。

1. 簡單分析

首先用VirusTotal查一遍文件，該網(wǎng)站認為這可能是個木馬，不過只有6/70的引擎報毒，一般認為是誤報。

看它是個Go寫的，考慮直接IDA，不過那對于簡單程序來說不重要。

發(fā)現(xiàn)確實釋放了證書文件，并要求UAC許可，查看證書文件的一些信息：

1. 這是個CA根證書

2. 頒發(fā)者被認為是NanameHacha

3. 這個證書是最近被簽的

看起來有些奇怪，繼續(xù)……

發(fā)現(xiàn)安裝器下載了一個.msix文件，這是微軟相關(guān)的一個安裝包文件。

在無證書的情況下安裝這個安裝包會提示無證書從而無法安裝。

所以，該證書的目的大概就是保障安裝程序正常運行，并非無理由。

分析安裝的文件與下載的zip文件，大約可以認為安裝或解壓的文件內(nèi)容一樣。

2. 副作用

副作用大了去了，也是我不理解的一點：為什么要做成msix安裝包？

第一點：使用了證書

若證書泄露后被他人惡意使用，可能會使人遭受攻擊，包括但不限于盜號。

在為用戶系統(tǒng)安裝CA根證書之前，大約應(yīng)該告訴用戶這樣做的作用。

另外，比安裝證書更好的一個方式是，去找相關(guān)機構(gòu)去獲取一份依賴于其它CA的證書。

第二點：難以編輯文件

比對結(jié)果認為，安裝的信息與下載的zip的有關(guān)信息差別不大，在Manage及一些其它文件夾中無差別。

這也意味著補丁和_debug.txt都是默認的：沒有安裝補丁，沒有開啟F7菜單。

而有趣的是，安裝目錄在Program Files\WindowsApps，這個似乎是msix的默認行為，而這個目錄無法直接訪問。

這是因為微軟防止用戶亂改導致錯誤而設(shè)置的權(quán)限，而這個權(quán)限可以通過一些方式獲取，但并不方便，且必須要UAC，一些不那么了解計算機的玩家可能束手無策。（百度搜索關(guān)鍵詞：WindowsApps）

但是獲取了這個權(quán)限依然無法修改里面的文件。在我測試的系統(tǒng)里，這些文件在安全模式下和命令行下也無法修改，這似乎意味著你為了打開一個F7菜單或者安裝補丁，你需要一個PE系統(tǒng)來從外部修改文件。這聽起來就很難繃。

這也就導致了可能對于一些玩家來說，不會安裝補丁或者打開F7菜單。

一種可能的解決方法是，把這些文件嘗試弄到外面來，但我不知道怎么做（

第三點：占用C盤空間

緩存了文件而已，小問題，一般不超過500MiB

3. 總結(jié)

建議改用Nepkey納百技的AicD或AicD_M來解決該安裝的問題。AliceInCradle 工具箱的安裝功能目前正在考慮轉(zhuǎn)移走。

https://www.bilibili.com/video/BV1mm4y1n7J3

4. 如果你非要較真

好吧。如果你真的很在意，這是一些恢復你的系統(tǒng)的方法：

1. 在左側(cè)的開始菜單旁邊搜索certificate，找到管理計算機證書，分別從受信任的根證書頒發(fā)機構(gòu)/證書和受信任的發(fā)布者/證書中找到NanameHacha，右鍵刪除

2. Windows+R，輸入%appdata%，找到NanameHacha\AliceInCradle_Installer，確認里面沒有你的存檔后刪除。請確認你刪除的文件夾不是你的存檔文件夾。我建議你不要做這件事。

3. 在左側(cè)的開始菜單旁邊搜索AliceInCradle，找到應(yīng)用而不是.exe，右鍵打開應(yīng)用設(shè)置，點擊卸載。