问msiexec.exe -Embedding

EN

您可以在斯泰布纳：https://learn.microsoft.com/en-us/archive/blogs/astebner/more-info-about-how-msi-custom-actions-work-behind-the-scenes上找到一些信息

以下是一个摘录：

msiexec.exe -Embedding (GUID) -这是自定义操作服务器(由-Embedding开关指示)

自定义操作：自定义操作是在安装过程中运行的自定义代码段。它们可以是脚本形式或二进制形式- dll，exe，vbscripts，etc...危险关闭。有了更高的权利，他们基本上可以做“任何事”，但通常他们都没事。

msiexec.exe：在安装任何msiexec.exe文件时都会有许多msiexec.exe进程，而一些MSI文件可以触发其中相当多的文件。这与MSI中存在多少自定义操作有关，可能还有许多其他事情。还将始终有一个client msiexec.exe process在user context中运行，一个server msiexec.exe process以LocalSystem的形式运行(除非服务器是静默运行的，否则安装中就没有用户部分)。这些进程运行实际安装本身。

msiexec.exe技术要点：我相信在安装之后，进程会在进程列表中保留大约10分钟。这至少过去是正常的行为(事物变化)。希思·斯图尔特的旧博客。

恶意软件：关于这一点，在恶意软件的意义上。自定义的行为过程当然可以被感染，但大多数情况下是不受感染的，反病毒软件可能会因为假阳性而决定破坏它。使用临时管理员权限运行的系统模式自定义操作会被提升，并且肯定可以用几乎任何东西感染计算机。无提升的MSI文件可以在启动时启动特洛伊木马和其他类型的恶意软件。然而，升级的自定义操作可以安装驱动程序和服务，以及各种疯狂行为。

反病毒：MSI文件的一个常见问题是反病毒可能决定在超级隐藏的MSI缓存文件夹C:\Windows\Installer中隔离MSI。这个文件夹受到高度保护，任何东西都不应该访问，在这里乱搞通常会导致无法卸载的MSI包(包被缓存以方便卸载、修改和修复)。对于这些不可安装的包，有一些黑客和修补程序。。此外，MSI源可能丢失还有其他原因。 (系统恢复异常是我怀疑的关键罪魁祸首之一)。

Keys to the City：已经远远超出了您实际要求的范围:如果您确信MSI已被感染，我将不愿调用它的卸载程序.我想这是不言而喻的。如果它运行高架，它就有“通往城市的钥匙”。使用Microsoft FixIt工具(在上面的链接答案中找到)或其他方法擦除安装。或者更好:重建你的盒子，我想--好像你还不够忙？

链接：

• 卸载MSI软件包的方法的综合列表
• 为什么有多个msiexec.exe实例？
• 缓存包的位置

这对我们来说不是选择。

在基于NT的操作系统上，MsiExec运行多次。一次在用户上下文中，另一次作为窗口服务。还有其他进程依赖于自定义动作模拟。嵌入是客户端(用户)如何将会话传递给服务器(服务)端的过程的一部分。