[原创]Windows Mobile CAB安装包分析[MASSADA0021]-智能设备-看雪-安全社区|安全招聘|kanxue.com

[原创]Windows Mobile CAB安装包分析[MASSADA0021]

发表于: 2009-3-16 22:13 13795

[原创]Windows Mobile CAB安装包分析[MASSADA0021]

加百力

2009-3-16 22:13

13795

【文章标题】: Windows Mobile CAB安装包分析

【文章作者】: 加百力

【软件名称】: SkypeForPocketPC.CAB

【下载地址】: 自己搜索下载

【编写语言】: C++

【使用工具】: EditPlus,RAR,WinHex,PETools,

【操作平台】: Windows XP SP2

--------------------------------------------------------------------------------

【详细过程】

一般我们得到的Windows Mobile安装程序有两种情况：

01、可以在PC上运行的EXE可执行文件。

当我们下载一些正规厂商生产的WM软件，比如卡巴的杀毒软件或者SkyPE软件。在PC上可以运行并安装，当用户的手机接入PC时，会通过AcitveSync安装到WM手机上。因为他们在安装时在硬盘上有备份。如果你安装了WM模拟器和ActiveSync软件在PC上。当把模拟器接入PC后ActiveSync也会识别到，并安装软件到模拟器上。

02、CAB包安装包

可以直接把CAB包拷贝到手机上点击安装。如果使用WM模拟器，则需要在WM模拟器上设置一个同PC共享的目录。设置成功后WM中会有一个新的目录:\Storage Card。把CAB包拷贝到共享目录中可以安装。

一般安装程序会要求你选择安装目录是\Windows目录还是\Storage Card目录。为了分析方便最好选择\Storage Card目录，因为所有程序和DLL都保存在共享目录中方便在PC上分析。但是目前有很多软件为了安全会在用户选择\Storage Card目录的情况下仍然把很多核心的程序和DLL保存到系统目录中。

本文重点介绍：如何直接分析CAB包，获取全部可执行文件和DLL文件，并详细了解软件安装过程。本次试验使用的是：SkypeForPocketPC.cab包进行分析。

01、首先用RAR解压SkypeForPocketPC.cab压缩包。

解开压缩包之后可以看到有12文件，如图1所示。其中只有一个_setup.xml可以看出是XML格式文件。其余文件名和扩展名未知。用EditPlus打开这个_setup.xml可以看到非常丰富的安装信息。

首先是：安装的基本信息：

比如： 2577这个编号以前的文章中提到过和ARM相关。表示是目标CPU类型为ARM.

最低安装操作系统的版本号为4.2。对应PocketPC 2003。

生成目录个数。

生成的注册表键数。

其次是：文件转换及安装信息：

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

分析效果图及XML文件.rar （77.05kb，82次下载）

收藏・5

免费・7

支持

最新回复 (17)
kuang110 雪币： 89 活跃值： (205) 能力值： ( LV9，RANK：270 ) 在线值：发帖 18 回帖 339 粉丝 0 关注私信	kuang110 6 2 楼顶呵呵沙发了吧 2009-3-16 22:30 0
hustphoto 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 29 粉丝 0 关注私信	hustphoto 3 楼板凳学习ing~~ 2009-3-17 13:13 0
救世猪雪币： 224 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 57 回帖 267 粉丝 0 关注私信	救世猪 1 4 楼支持！原来如此~~~ 以前经常拿来cab，以为是rar文件呢，当作rar直接解压，然后后出来一大堆乱七八糟的文件，从来没想过这些文件是干嘛的~ 对了，也应该可以通过直接更改rar包里面的这个_setup.xml来更改cab包的安装吧 2009-3-17 17:24 0
加百力雪币： 2604 活跃值： (64) 能力值： (RANK：510 ) 在线值：发帖 86 回帖 896 粉丝 4 关注私信	加百力 12 5 楼据我分析看CAB包只是简单对内部的文件整体打包，并没有进行多少压缩操作。并且用WinHex打开CAB包，其文件头和一般的RAR压缩包还是有很大不同。 2009-3-17 17:35 0
加百力雪币： 2604 活跃值： (64) 能力值： (RANK：510 ) 在线值：发帖 86 回帖 896 粉丝 4 关注私信	加百力 12 6 楼 “对了，也应该可以通过直接更改rar包里面的这个_setup.xml来更改cab包的安装吧” 这个问题问得很好！我估计应该是这样的，但是并未做试验验证。如果感兴趣你可以抽空做做试验，并给大家介绍一下。呵呵。 2009-3-17 17:37 0
NETTF小金雪币： 164 活跃值： (10) 能力值： ( LV7，RANK：110 ) 在线值：发帖 12 回帖 131 粉丝 0 关注私信	NETTF小金 2 7 楼版主，我推荐个工具，WinCE CAB Manager，可以直接打开CAB包看文件和写入的注册表内容还能导出导入修改 2009-4-3 20:33 0
加百力雪币： 2604 活跃值： (64) 能力值： (RANK：510 ) 在线值：发帖 86 回帖 896 粉丝 4 关注私信	加百力 12 8 楼感谢NETTF小金的介绍！以前还不知道有这样的好工具可用。网上下载的地方很多，感兴趣的朋友可以下载来试试。 2009-4-4 09:07 0
NETTF小金雪币： 164 活跃值： (10) 能力值： ( LV7，RANK：110 ) 在线值：发帖 12 回帖 131 粉丝 0 关注私信	NETTF小金 2 9 楼做PPC安装包的业余人员例如我……都在用它……快捷制作注册表patch也能用它，做壁纸tsk也用它-_-万能药 2009-4-4 12:59 0
加百力雪币： 2604 活跃值： (64) 能力值： (RANK：510 ) 在线值：发帖 86 回帖 896 粉丝 4 关注私信	加百力 12 10 楼过去知道有个MakeCab.exe程序可以制作CAB包，SDK安装后会提供。这会又有更好的工具可用了。 2009-4-4 15:22 0
kaison 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	kaison 11 楼 WinCE cab manager 很好用，还可以压缩cab 2009-4-16 23:26 0
pmma 雪币： 178 活跃值： (159) 能力值： ( LV4，RANK：50 ) 在线值：发帖 24 回帖 191 粉丝 0 关注私信	pmma 1 12 楼 WinCE cab manager对这个很管用 2009-5-8 09:09 0
book 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	book 13 楼 WinCE CAB Manager 2009-5-25 22:39 0
linhanshi 雪币： 102419 活跃值： (201669) 能力值： (RANK：10 ) 在线值：发帖 9282 回帖 28000 粉丝 470 关注私信	linhanshi 14 楼 Thanks for share. 2009-5-28 11:33 0
lesgle 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	lesgle 15 楼我试过，有文件用WinCE cab manager没办法打包进去cab包里面，非常的诡异 2009-6-15 21:07 0
NETTF小金雪币： 164 活跃值： (10) 能力值： ( LV7，RANK：110 ) 在线值：发帖 12 回帖 131 粉丝 0 关注私信	NETTF小金 2 16 楼目前没遇到过，举例？ 2009-6-16 00:21 0
secode 雪币： 134 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 74 粉丝 0 关注私信	secode 17 楼这个 xml 怎么利用呢? 2009-6-17 22:33 0
cater 雪币： 109 活跃值： (603) 能力值： ( LV12，RANK：220 ) 在线值：发帖 58 回帖 415 粉丝 3 关注私信	cater 5 18 楼微软好象有专门解包工具 2009-6-24 14:53 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

加百力

发帖

896

回帖

510

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (17)
kuang110 雪币： 89 活跃值： (205) 能力值： ( LV9，RANK：270 ) 在线值：发帖 18 回帖 339 粉丝 0 关注私信	kuang110 6 2 楼顶呵呵沙发了吧 2009-3-16 22:30 0
hustphoto 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 29 粉丝 0 关注私信	hustphoto 3 楼板凳学习ing~~ 2009-3-17 13:13 0
救世猪雪币： 224 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 57 回帖 267 粉丝 0 关注私信	救世猪 1 4 楼支持！原来如此~~~ 以前经常拿来cab，以为是rar文件呢，当作rar直接解压，然后后出来一大堆乱七八糟的文件，从来没想过这些文件是干嘛的~ 对了，也应该可以通过直接更改rar包里面的这个_setup.xml来更改cab包的安装吧 2009-3-17 17:24 0
加百力雪币： 2604 活跃值： (64) 能力值： (RANK：510 ) 在线值：发帖 86 回帖 896 粉丝 4 关注私信	加百力 12 5 楼据我分析看CAB包只是简单对内部的文件整体打包，并没有进行多少压缩操作。并且用WinHex打开CAB包，其文件头和一般的RAR压缩包还是有很大不同。 2009-3-17 17:35 0
加百力雪币： 2604 活跃值： (64) 能力值： (RANK：510 ) 在线值：发帖 86 回帖 896 粉丝 4 关注私信	加百力 12 6 楼 “对了，也应该可以通过直接更改rar包里面的这个_setup.xml来更改cab包的安装吧” 这个问题问得很好！我估计应该是这样的，但是并未做试验验证。如果感兴趣你可以抽空做做试验，并给大家介绍一下。呵呵。 2009-3-17 17:37 0
NETTF小金雪币： 164 活跃值： (10) 能力值： ( LV7，RANK：110 ) 在线值：发帖 12 回帖 131 粉丝 0 关注私信	NETTF小金 2 7 楼版主，我推荐个工具，WinCE CAB Manager，可以直接打开CAB包看文件和写入的注册表内容还能导出导入修改 2009-4-3 20:33 0
加百力雪币： 2604 活跃值： (64) 能力值： (RANK：510 ) 在线值：发帖 86 回帖 896 粉丝 4 关注私信	加百力 12 8 楼感谢NETTF小金的介绍！以前还不知道有这样的好工具可用。网上下载的地方很多，感兴趣的朋友可以下载来试试。 2009-4-4 09:07 0
NETTF小金雪币： 164 活跃值： (10) 能力值： ( LV7，RANK：110 ) 在线值：发帖 12 回帖 131 粉丝 0 关注私信	NETTF小金 2 9 楼做PPC安装包的业余人员例如我……都在用它……快捷制作注册表patch也能用它，做壁纸tsk也用它-_-万能药 2009-4-4 12:59 0
加百力雪币： 2604 活跃值： (64) 能力值： (RANK：510 ) 在线值：发帖 86 回帖 896 粉丝 4 关注私信	加百力 12 10 楼过去知道有个MakeCab.exe程序可以制作CAB包，SDK安装后会提供。这会又有更好的工具可用了。 2009-4-4 15:22 0
kaison 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	kaison 11 楼 WinCE cab manager 很好用，还可以压缩cab 2009-4-16 23:26 0
pmma 雪币： 178 活跃值： (159) 能力值： ( LV4，RANK：50 ) 在线值：发帖 24 回帖 191 粉丝 0 关注私信	pmma 1 12 楼 WinCE cab manager对这个很管用 2009-5-8 09:09 0
book 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	book 13 楼 WinCE CAB Manager 2009-5-25 22:39 0
linhanshi 雪币： 102419 活跃值： (201669) 能力值： (RANK：10 ) 在线值：发帖 9282 回帖 28000 粉丝 470 关注私信	linhanshi 14 楼 Thanks for share. 2009-5-28 11:33 0
lesgle 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	lesgle 15 楼我试过，有文件用WinCE cab manager没办法打包进去cab包里面，非常的诡异 2009-6-15 21:07 0
NETTF小金雪币： 164 活跃值： (10) 能力值： ( LV7，RANK：110 ) 在线值：发帖 12 回帖 131 粉丝 0 关注私信	NETTF小金 2 16 楼目前没遇到过，举例？ 2009-6-16 00:21 0
secode 雪币： 134 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 74 粉丝 0 关注私信	secode 17 楼这个 xml 怎么利用呢? 2009-6-17 22:33 0
cater 雪币： 109 活跃值： (603) 能力值： ( LV12，RANK：220 ) 在线值：发帖 58 回帖 415 粉丝 3 关注私信	cater 5 18 楼微软好象有专门解包工具 2009-6-24 14:53 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复