摘要:
Inno Setup是一款免费、功能强大的 Windows 安装包制作工具(由 Jordan Russell 开发),其生成的安装程序本质上是一个自解压的可执行文件(通常为 set... Inno Setup
是一款免费、功能强大的 Windows 安装包制作工具(由 Jordan Russell 开发),其生成的安装程序本质上是一个自解压的可执行文件(通常为 setup.exe),内部使用了高度压缩的自定义文件格式 —— 我们通常称之为 Inno Setup Format。
Cerbero Suite(尤其是 Advanced 版)对 Inno Setup 安装包有业界最强的解析支持,能完整提取脚本、文件、图标、版本信息、数字签名等。
1. Inno Setup 安装包的结构(物理格式)
一个标准的 Inno Setup 安装包(setup.exe)由以下几部分组成:
| 区域 | 内容说明 |
|---|---|
| Stub(自解压头) | 一个小型可执行程序,负责解压和运行安装流程(基于 Delphi/C++ 编写) |
| 数字签名(可选) | Code Signing Certificate,位于 Stub 之后 |
| Inno Setup Header | 核心头部,包含魔数 0x6F6E6E49("Inno" 的倒序) |
| 数据偏移表 | 指向压缩数据、文件信息、脚本等的偏移量 |
| 压缩的文件数据 | 默认使用 LZMA、LZMA2、Zlib 或 BZip2 压缩(可自定义) |
| 加密层(可选) | 支持密码保护(AES-256)或仅加密部分文件 |
| Inno Setup 脚本 | 编译后的 Pascal Scripting 脚本(二进制形式) |
| 文件条目表 | 包含所有要安装的文件名、属性、时间戳、外部/内嵌标志等 |
| 图标、版本信息、注册表项等 | 全部以结构化方式存储 |
2. 常见版本标识(Cerbero Suite 中可见)
Cerbero Suite 会直接显示 Inno Setup 的具体编译版本,例如:
| 版本范围 | 典型标识 | 压缩算法变化 |
|---|---|---|
| Inno 5.x | Inno Setup 5.x | LZMA为主 |
| Inno 6.0+ | Inno Setup 6.0–6.2 | 引入 LZMA2、更好的 64 位支持 |
| Inno 6.3+ | Inno Setup 6.3+(当前最新 6.4.x) | 支持 Brotli 压缩、Unicode 完全支持 |
3. Cerbero Suite 对 Inno Setup 的解析能力(2025 年最新 8.x 版)
打开一个 Inno Setup 安装包后,Cerbero 会自动识别并提供以下视图与功能:
| 功能 | 说明 |
|---|---|
| Inno Setup Loader | 完整解析所有头部结构,显示版本、压缩算法、是否加密、文件数量等 |
| Files 标签 | 列出所有打包文件(包括外部文件),可直接右键提取(Extract as...) |
| Script 标签 | 反编译出可读性极高的 Pascal 脚本(比官方 iss 脚本更接近原始源码) |
| Resources | 提取图标、版本信息(VersionInfo)、数字签名证书 |
| Registry、INI、Permissions 等 | 完整显示安装时要写入的注册表键、ini 修改、文件权限设置等 |
| Decompression | 一键解压所有文件(支持密码保护的包也会提示输入密码) |
| Carbon 反混淆(部分支持) | 对使用 Inno Setup + Themida/VMProtect 等保护的样本有一定脱壳能力 |
4. 典型使用场景(恶意软件分析中最常见)
大量下载器、木马、窃取器都使用 Inno Setup 打包(因为免费、压缩率高、支持脚本)
攻击者常在内嵌 PowerShell、VBS、JSE、DLL 侧载等载荷
常配合密码保护或自定义加密来对抗沙箱和杀软
Cerbero Suite 能在几秒内完整提取所有内嵌文件并还原脚本,是目前最快的 Inno Setup 分析工具
5. 快速提取命令(Cerbero Suite 命令行)
# 批量解包当前目录下所有 Inno Setup 安装包 cerbero.exe -batch -r "*.exe" -action InnoSetupExtract -out "Extracted"
innosetup-6.6.0.zip(带中文语言文件)
类型:压缩文件|已下载:1|下载方式:免费下载
立即下载
还没有评论,来说两句吧...