前言

https://www.bilibili.com/video/BV1aF411C76k AliceInCradle installer演示

观察该视频可以发现一些奇怪的事情：为什么一个安装程序需要安装证书？

安装证书一般来说需要UAC，而UAC并不是每个用户都拥有的。

而且，我和纳百技Nepkey共实现了 3 个安装器，其中并没有需要安装证书的，这引起了我的注意。

考虑到诺艾尔Noel刚退出了SNS，而且中文运营把我拉黑了，我无法联系上开发人员，便写了这个分析的东西。

另外说一下，我以前没有研究过这方面的东西，所以这个分析报告也不专业，大家看个乐子就好。

1. 简单分析

首先用VirusTotal查一遍文件，该网站认为这可能是个木马，不过只有6/70的引擎报毒，一般认为是误报。

看它是个Go写的，考虑直接IDA，不过那对于简单程序来说不重要。

发现确实释放了证书文件，并要求UAC许可，查看证书文件的一些信息：

1. 这是个CA根证书

2. 颁发者被认为是NanameHacha

3. 这个证书是最近被签的

看起来有些奇怪，继续……

发现安装器下载了一个.msix文件，这是微软相关的一个安装包文件。

在无证书的情况下安装这个安装包会提示无证书从而无法安装。

所以，该证书的目的大概就是保障安装程序正常运行，并非无理由。

分析安装的文件与下载的zip文件，大约可以认为安装或解压的文件内容一样。

2. 副作用

副作用大了去了，也是我不理解的一点：为什么要做成msix安装包？

第一点：使用了证书

若证书泄露后被他人恶意使用，可能会使人遭受攻击，包括但不限于盗号。

在为用户系统安装CA根证书之前，大约应该告诉用户这样做的作用。

另外，比安装证书更好的一个方式是，去找相关机构去获取一份依赖于其它CA的证书。

第二点：难以编辑文件

比对结果认为，安装的信息与下载的zip的有关信息差别不大，在Manage及一些其它文件夹中无差别。

这也意味着补丁和_debug.txt都是默认的：没有安装补丁，没有开启F7菜单。

而有趣的是，安装目录在Program Files\WindowsApps，这个似乎是msix的默认行为，而这个目录无法直接访问。

这是因为微软防止用户乱改导致错误而设置的权限，而这个权限可以通过一些方式获取，但并不方便，且必须要UAC，一些不那么了解计算机的玩家可能束手无策。（百度搜索关键词：WindowsApps）

但是获取了这个权限依然无法修改里面的文件。在我测试的系统里，这些文件在安全模式下和命令行下也无法修改，这似乎意味着你为了打开一个F7菜单或者安装补丁，你需要一个PE系统来从外部修改文件。这听起来就很难绷。

这也就导致了可能对于一些玩家来说，不会安装补丁或者打开F7菜单。

一种可能的解决方法是，把这些文件尝试弄到外面来，但我不知道怎么做（

第三点：占用C盘空间

缓存了文件而已，小问题，一般不超过500MiB

3. 总结

建议改用Nepkey纳百技的AicD或AicD_M来解决该安装的问题。AliceInCradle 工具箱的安装功能目前正在考虑转移走。

https://www.bilibili.com/video/BV1mm4y1n7J3

4. 如果你非要较真

好吧。如果你真的很在意，这是一些恢复你的系统的方法：

1. 在左侧的开始菜单旁边搜索certificate，找到管理计算机证书，分别从受信任的根证书颁发机构/证书和受信任的发布者/证书中找到NanameHacha，右键删除

2. Windows+R，输入%appdata%，找到NanameHacha\AliceInCradle_Installer，确认里面没有你的存档后删除。请确认你删除的文件夹不是你的存档文件夹。我建议你不要做这件事。

3. 在左侧的开始菜单旁边搜索AliceInCradle，找到应用而不是.exe，右键打开应用设置，点击卸载。