所以安裝 Canon 自家軟體 Digital Photo Professional (簡稱DPP)
但它是英文介面~
對我這英文白癡來說...
實在無法上手!
所以找了中文化程式~
我安裝的 DPP 是 3.14.48 版!
所以自然是找 3.14.48 版中文化...
直至今天,好像仍只有一位屬名 Mike 作者在製作 DPP 正體中文化!
PS.N年前用過 DPP,也是使用這位作者的正體中文化...
作者的正體中文化介紹與下載頁:
http://www.mike.idv.tw/2015/07/13/604
由於我向來都將下載存放磁碟在防毒軟體中設為"例外"!
也就是不讓防毒軟體偵測該磁碟上的任何檔案~
否則一堆破解檔早被防毒軟體砍光光了!!
因此問題是出在安裝後......
防毒軟體偵測到有病毒!
所以將該檔案攔截並刪除~
作用之大,還必須重新開機......
這還蠻少見的,因為通常攔截後就隔離!
不會有重新開機的要求~
仔細查看,似乎是因為還修改了登錄檔...
見圖:
我逐一檢查各項登錄機碼!
並對照VM上乾淨的Windows 7...
發現那些機碼確實都是新增的~
而防毒軟體雖顯示矯正狀態:成功
但經檢查,還是有4個登錄機碼未被刪除!!
分別如下:
[HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000001
[HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000001
[HKEY_USERS\S-1-5-21-4286467882-4220147720-23209038-500\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000001
[HKEY_USERS\S-1-5-21-4286467882-4220147720-23209038-500\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NofolderOptions"=dword:00000000
查 ShowSuperHidden 是什麼?!
Show Super Hidden 翻譯:顯示超級隱藏
確實我發現到,本來看不見的目錄通通都出現了!
那些目錄大多是有個鎖頭,但沒有權限可以進入的目錄~
即便我使用的是 Administrator 帳戶!
我則手動逐一刪除那些多出來的登錄機碼後並重新開機!
狀態就恢復了...
另外,值得注意的是另外產生的兩個檔案:
installed.dat 和 comsa32.sys
我檢查時,該目錄及檔案已經不存在,估計是被防毒軟體直接刪除了!
我將被視為病毒感染的檔案 DPPUIRSC.dll 用 Resource Hacker 開啟!
發現裏頭都壓縮了(應是俗稱加殼),看不到內容...
通常這樣的檔案會被防毒軟體視為具威脅性也算正常!
所以我放軟體的磁碟設為例外不讓防毒軟體管就是這樣~
由我自己判斷可不可信......
接著,我將 DPPUIRSC.dll 上傳 www.virustotal.com 檢測!
很意外在 56 家防毒軟體中~
只有一家判定該檔有問題,正是 Symantec ......
而我正是使用:
Symantec Endpoint Protection v12.1.6318.6100 RU6 MP1a
簡稱 SEP~
若無經中文化,僅安裝原始英文版...
上述登錄機碼並不存在,也就是不會新增那些機碼!
同時,也不會產生 installed.dat 和 comsa32.sys 這兩個檔案~
就我的理解...
中文化檔案之所以加殼!
為的只是不希望自己辛苦的翻譯被人無料取用~
這也是我國正體中文化越來越少的原因...
太多人盜用別人辛苦的作品去成就自己!!
但中文化加殼有沒有藉此在裡面加料的?
當然有!!!
例如 HTTP File Server 的正體中文化......
10個正體中文化,我可以說10個都有問題!
至於是什麼問題於此不研究~
而我秉持 疑人不用,用人不疑 的原則~
這 DPP 3.14.48 版正體中文化我自負風險安裝了上去!
只是沒想到這次風險似乎並不低......
扎扎實實的看見了不該新增的機碼和額外出現的檔案!
爾後我再次嘗試安裝,將 DPP 安裝路徑
C:\Program Files (x86)\Canon
在防毒軟體裡設為"例外",不讓防毒軟體管...
但這回,SEP 非常強勢又將 DPPUIRSC.dll 給隔離!
同時又要我重新開機~
因為情況一樣!
又被新增機碼,而產生的 installed.dat 和 comsa32.sys 這兩個檔案...
也被強制刪除不見蹤影!
因此無法上傳 www.virustotal.com 檢測確認是不是病毒!
SEP 如此強勢的無視我的"例外"設定,我想其來有自~
只是,問題到底出在哪裡?
=================================================
用僅限的能力繼續研究~
由於正體中文化檔案是經過加殼的!
所以 SEP 防毒軟體會視為威脅~
又或許它有它的研判依據,這我不得而知...
總之,如只因中文化成果不被盜用而加殼!
那麼該檔案是可以信任的~
身為英文白癡,常仰賴中文化程式...
該有的認知與觀念還是有的!!
因此,用 7-Zip 開啟...
直取 DPPUIRSC.dll 去替換英文版 DPPUIRSC.dll~
同時 DPP 安裝路徑 C:\Program Files (x86)\Canon
在防毒軟體裡一樣設為"例外",不讓防毒軟體管...
經測試,DPP 執行後會改變成正體中文介面!
也不會新增奇奇怪怪的機碼和檔案...
那麼,問題就可能出在正體中文化安裝執行檔裡的另一個目錄了!
用 7-Zip 開啟可以看到裡面有兩個目錄~
一個是 $0,另一個是 $PLUGINSDIR ...
$0 目錄裡僅有3個檔案,分別為:
DPPUIRSC.dll,DPPUIRSC.dll.eng.bak 和 readme.txt
DPPUIRSC.dll 就是經正體中文化後的關鍵檔案!
DPPUIRSC.dll.eng.bak 應為原始英文檔的備份檔!
readme.txt 就是軟體相關介紹與正體中文化相關說明!
這目錄裡沒有異樣...
另一個 $PLUGINSDIR 我估計就是新增機碼與檔案的始作傭者!
裡頭檔案如圖:
我判斷 InstallOptions.dll 就是兇手!!
雖然上傳 www.virustotal.com 檢測結果沒有異常...
但目前有6個反應檔案有問題!
相較 DPPUIRSC.dll 被 Symantec 判斷為病毒感染...
卻無人反映有問題或沒問題!
這點頗耐人尋味......
至於 InstallOptions.dll 裡的檔案要怎麼看~
這已超出我的能力範圍之外!
就看有沒有高手可以拆解分析了...
目前我的結論是:
DPPUIRSC.dll 正體中文化加殼應是為了辛苦成果不被盜用
而採取的措施!
可以相信裡面沒有惡意的東西......
但安裝檔 $PLUGINSDIR 目錄裡的檔案,恐怕有問題!
至於是什麼問題?!
我不是專家,故無法說明~
要將 DPP 正體中文化,建議以 7-Zip 開啟該執行檔!
並以直接提取 $0 目錄裡 DPPUIRSC.dll 去覆蓋英文 DPPUIRSC.dll 既可~
不要雙擊 dpp314481cht.exe 去安裝...
因為那樣做會一併執行中文化以外的東西!
也就是我遇到的新增奇奇怪怪的機碼~
和產生被防毒軟體直接刪除的可疑檔案!!
而這些其實不應該發生的異常...
是否為作者所為?目的又是什麼?
我不得而知!
甚至我可以保守一點說,作者知不知情?!
雖檔案存放在作者的網站...
但也有可能該安裝檔是遭不知名人士竄改加料後上傳的!
畢竟網路很難保證100%安全...
作者網站遭駭也是有可能!
以上僅供參考...
