Silent Install Builder(静默安装包制作工具) v6.0

Silent Install Builder 特别版是一款功能强大的静默安装包制作工具。Silent Install Builder 特别版帮助用户将多个文件打包成一个安装包进行生产，同时通过记录 UI Automation 脚本来自动化应用程序安装。创建由 JScript 和 .net Framework API 提供支持的智能包。使用 GPO、SCCM、Intune 或第三方工具构建 .exe 或 .msi 包以进行企业部署。自动检测最常见安装程序的命令行选项。使用 JavaScript 定义安装条件并更改文件和注册表。表示相关包集合的 GUID。如果该值为 true，则在保持安装过程处于活动状态后退出包。近日，Tinder安全实验室截获了一批携带病毒的“小马激活工具”。根据恶意配置信息，在后台静默推广该软件，并在指定城市以外的地方安装一些附加软件。

软件介绍

Silent Install Builder 特别版是一款功能强大的静默安装包制作工具。 Silent Install Builder 特别版帮助用户将多个文件打包成一个安装包进行生产，同时通过记录 UI Automation 脚本来自动化应用程序安装。

特征

1.UI自动化

通过记录 UI 自动化脚本来自动化应用程序安装。 UI 脚本将静默执行，无需用户交互。

2.安装条件和脚本。

创建由 JScript 和 .net Framework API 提供支持的智能包。 使用预定义的安装条件和函数进行文件和注册表操作。

3、企业网络部署

使用 GPO、SCCM、Intune 或第三方工具构建 .exe 或 .msi (Windows Installer) 包以进行企业部署。

4.UI自动化脚本

通过记录 UI 自动化脚本来自动化应用程序安装。

5、命令执行

执行脚本文件：PowerShell、cmd、vbs等命令。

6. 多次安装

创建一个包，用于一次无人值守安装多个应用程序。

7.检测安装程序类型

自动检测最常见安装程序的命令行选项。

8. 脚本

使用 JavaScript 定义安装条件并更改文件和注册表。

9. 卸载

按名称和版本标准卸载应用程序。

使用说明

1. 包装选择

一些包选项可以以 JSON 格式设置。 可以在“进度选项”对话框中编辑选项。 以下示例显示了所有可用的包选项及其默认值：

1. 产品代码

特定软件包版本的唯一标识符，表示为字符串 GUID，例如 {12345678-1234-1234-1234-123456789012}。 该标识符在不同的软件包版本之间必须有所不同。 2.升级代码

表示相关包集合的 GUID。 一组不同版本的软件包将具有相同的升级代码。 这使得应用程序的较新版本能够搜索并升级同一计算机上安装的先前版本。

3.arpNoShow

防止应用程序出现在 Windows 添加/删除程序列表中。 该选项不会影响软件包的安装。

默认值：假

4.阿普诺移动

禁止“卸载”按钮出现在 Windows“添加/删除程序列表”中。

默认值：假

5.阿普诺修复

禁用 Windows“添加/删除程序列表”中的“修复”按钮。

默认值：假

6. o不更新产品代码

该选项决定包版本更改后是否自动更新upgradeCode值。

默认值：假

7.ui脚本测试

此选项启用自动脚本测试模式。 与静默模式不同，在测试模式下，安装过程是可见的。

默认值：假

2. 行动选项

部分安装应用程序和卸载应用程序操作选项可以使用 JSON 格式设置。 可以在“进度选项”对话框中编辑选项。 以下示例显示了具有默认值的所有可用操作选项：

1.忽略失败

忽略操作的失败并继续安装包。

默认值：假

2.保持进程存活

该选项决定如果操作失败是否终止安装过程。 默认情况下，如果操作失败，安装或卸载过程将立即终止。 如果该值为 true，则在保持安装过程处于活动状态后退出包。

默认值：假

3.等待超时

定义操作的等待超时。 它指定等待安装或卸载过程完成的超时时间（以秒为单位）。

默认值：120

4.ui隐藏

定义安装向导中可见的操作。 如果为 true，则该操作将对用户隐藏，并且始终会安装。

默认值：假

5.ui禁用

在安装向导中定义操作禁用状态。 如果为 true，则用户无法更改操作选择状态。

默认值：假

6.ui未选定

在安装向导中定义操作初始选择状态。

默认值：假

教程

第一步是从此页面下载并安装。

第2步：开始制作

这里选择你需要创建的软件包

① 有些程序带有静默安装参数/S。 跳到第三步开始到处静默安装。

②没有默认参数，选择②我们需要录制安装脚本

单击“确定”

自动弹出安装窗口

按住ctrl并选择需要修改或点击的地方。 将出现一个红框，然后单击鼠标左键选择一个操作。

要修改安装目录，需要在安装程序之前创建相应的目录。 否则，可能无法安装。

注意，一定要记录整个程序安装过程，直到关闭最后一个窗口！ ！ !点击确定结束

第三步：导出静默安装包

勾选“不在列表中显示”，两个同名的程序将不会出现在控制面板中。

最后找到完成的静默安装包，以cmd管理员身份运行start name.exe \s即可实现静默安装。 。 。

近日，Tinder安全实验室截获了一批携带病毒的“小马激活工具”。 病毒启动后，会从远程服务器下载恶意配置信息，并执行静默安装软件的恶意行为。 推广的软件包括“360”、“2345”系列软件和“腾讯电脑管家”等软件。 不排除后续传播其他恶意配置的可能性。 Tinder安全软件可以检测并查杀病毒； 【软件安装拦截】功能可以拦截升级的软件。

通过在百度上搜索“激活工具”，发现搜索结果前三名都是传播病毒的内容，这说明病毒作者试图通过购买百度的竞价排名来大规模传播病毒。

进一步追踪激活工具的网址hxxp://，发现该域名属于“桂林木犀网络科技有限公司”。 公司网站注册信息如下：

详细分析

病毒启动后，会从远程服务器下载恶意配置信息，并执行相应的恶意行为，如下载并执行任意文件、后台静默安装软件等。病毒的执行流程如图所示以下：

Setup_Activator.exe是一个初始化模块，由Autoit脚本编译而成，并使用混淆方法来避免被防病毒软件检测。 相关代码如下所示：

反混淆后发现该模块会释放并执行原激活工具和kmsactivation.exe恶意模块，并创建任务计划进行持久化。 发布激活工具和恶意模块。 相关代码如下所示：

为恶意模块创建一个任务计划以实现持久化，每次开机时都会启动该任务计划。 相关代码如下所示：

根据系统版本的不同，执行不同的激活工具。 相关代码如下所示：

kmsactivation.exe模块中，首先从hxxp:///0406jh/info_online_mh.txt中获取恶意配置信息，然后根据恶意配置信息执行特定的恶意行为，如下载并执行任意文件、静默安装等后台软件等，相关恶意配置信息如下图所示：

根据恶意配置信息下载并执行任意文件。 相关代码如下所示：

该模块还会过滤指定城市，对于指定城市以外的地方安装一些额外的软件（腾讯电脑管家）来获取用户当前的城市。 相关代码如下所示：

根据恶意配置信息，在后台静默推广该软件，并在指定城市以外的地方安装一些附加软件（腾讯电脑管家）。 相关代码如下所示：

附录

C&C服务器列表：

病毒哈希：