跳转至

Msiexec

对手可能会滥用 msiexec.exe 来代理执行恶意有效负载。Msiexec.exe 是 Windows Installer 的命令行实用程序,因此通常与执行安装包 (.msi) 相关联。(引用: Microsoft msiexec) Msiexec.exe 二进制文件也可能由 Microsoft 数字签名。 对手可能会滥用 msiexec.exe 来启动本地或网络可访问的 MSI 文件。Msiexec.exe 还可以执行 DLL。(引用: LOLBAS Msiexec)(引用: TrendMicro Msiexec Feb 2018) 由于它可能被签名并且是 Windows 系统上的本地程序,msiexec.exe 可以用来绕过不考虑其潜在滥用的应用程序控制解决方案。如果启用了 AlwaysInstallElevated 策略,msiexec.exe 执行还可以提升到 SYSTEM 权限。(引用: Microsoft AlwaysInstallElevated 2018)