CAPEv2项目中的MSIX文件分析问题排查与解决

问题背景

在CAPEv2恶意软件分析平台中，用户遇到了MSIX安装包文件无法正常分析的问题。MSIX是微软推出的现代应用程序安装包格式，相比传统的MSI安装包，它采用了容器化技术，具有更好的隔离性和安全性。在CAPEv2的分析过程中，系统需要通过PowerShell脚本(msix.ps1)来安装和运行MSIX包，但出现了权限拒绝的错误。

问题现象

当提交MSIX文件进行分析时，系统尝试在Windows虚拟机中执行msix.ps1脚本时失败，错误信息显示"Access to the path 'C:\tmpmb9dnw8c\data\msix.ps1' is denied"。尽管确认了以下条件：

1. agent.py以管理员权限运行
2. 相关文件和目录具有正确的权限设置
3. Windows Defender实时保护已禁用

环境配置

• CAPEv2版本：commit 9f2525cae22e25dec20d3761181acdd74df80e4c
• 宿主机系统：Ubuntu 22.04.5 LTS
• 虚拟机系统：Windows 10 21H2/22H2
• 虚拟机管理：VirtualBox
• 配置：禁用权限检查(permissions = no)

排查过程

初步验证

手动执行msix.ps1脚本可以正常工作，这表明脚本本身没有问题，问题出在CAPEv2执行脚本的方式上。

权限检查

检查发现所有相关文件和目录都具有正确的权限设置：

• SYSTEM账户：完全控制
• 管理员组：完全控制
• 所有者权限：完全控制

系统版本影响

尝试了Windows 10 21H2和22H2两个版本，问题依然存在。值得注意的是，CAPEv2官方推荐使用21H2版本，22H2版本的支持仍在开发中。

注入机制影响

发现禁用CAPEv2的注入机制(设置free = True)可以解决问题，但这会导致无法获取行为日志，不是理想的解决方案。

根本原因与解决方案

临时文件访问问题

最终发现问题的根源在于CAPEv2在分析过程中动态生成的msix.ps1脚本文件访问权限问题。解决方案是预先将msix.ps1脚本放置在虚拟机中，并在创建快照前完成这一步骤。

进程跟踪问题

在解决脚本执行问题后，又遇到了无法完整跟踪MSIX安装过程的问题。MSIX安装通常会涉及以下进程链：

1. sihost.exe (Shell Infrastructure Host)
2. AiStub.exe (MSIX安装程序存根)
3. PowerShell (执行启动脚本)

通过分析发现，当通过GUI安装MSIX时，AiStub由sihost启动；而通过脚本安装时，AiStub由explorer.exe通过Appinfo服务(svchost.exe)启动。

进程注入改进

为了完整跟踪进程链，需要修改CAPEv2的注入机制，使其能够监控Appinfo服务的svchost进程。具体修改包括：

1. 在analyzer.py中保存CommandPipeHandler实例
2. 手动添加对特定svchost进程(PID 9300)的监控

技术要点总结

1. MSIX分析需要特别注意权限问题，特别是在动态生成脚本文件时
2. Windows系统版本对CAPEv2的兼容性有重要影响
3. MSIX安装过程的进程链跟踪需要特殊处理
4. 对于复杂的安装过程，可能需要手动扩展监控范围

最佳实践建议

1. 使用官方推荐的Windows 10 21H2版本进行分析
2. 预先将必要的脚本文件放置在虚拟机中
3. 对于复杂的安装过程，考虑扩展进程监控范围
4. 在修改注入机制时，注意平衡功能完整性和安全性

通过以上分析和解决方案，成功解决了CAPEv2中MSIX文件分析的问题，并实现了完整的安装过程行为监控。