前幾天調(diào)出控制面板，檢查軟件安裝列表的時候發(fā)現(xiàn)多了一個名為“Office Plus（公測版）”的軟件，而桌面、任務(wù)欄和開始菜單完全沒有這個軟件圖標(biāo)的身影，列表中的圖標(biāo)外觀類似迅雷？非?？隙ǖ氖亲约簭膩頉]有手動安裝或者授權(quán)安裝過同名軟件，下意識地想到電腦可能被木馬病毒或惡意軟件入侵了，只能先全盤查殺找到惡意樣本后，再具體問題具體分析，但最終無果。手動卸載軟件后，沒想到過幾天又給我安裝回來了，期間沒有任何安裝提示或UAC授權(quán)安裝的彈窗，防護軟件也沒有任何攔截提醒。

有點意思，于是簡單地看了一下安裝路徑，C:\Program Files\Microsoft OfficePLUS\2.5.1.37533\，emmm..……?看到這個目錄名稱后我先按下不表，其中包含若干個文件夾和Uninst.exe的卸載程序，別的不說先看一下程序的數(shù)字簽名證書，簽名者姓名/頒發(fā)給 Microsoft Corporation，這就不奇怪了，能做到靜默安裝不被攔截非常的合情合理……

全盤查找了半天沒能找到安裝包本體，猜測是在安裝完成后自動銷毀了吧，既然能做到主動安裝自然是有一個啟動服務(wù)掛在后臺監(jiān)控用戶的安裝環(huán)境，首要任務(wù)是揪出這個“內(nèi)鬼”后臺進(jìn)程。僅目前掌握到的軟件安裝目錄信息，足夠引蛇出洞，思路是攔截到創(chuàng)建軟件安裝目錄就算成功。鑒于火絨自帶的軟件安裝攔截功能只能攔截在庫的惡意軟件，且無法自行添加需要攔截的軟件，所以采用火絨自定義規(guī)則攔截并收集必要的日志信息，高級防護 -> 自定義防護 -> 添加防護，隨便起個規(guī)則名，發(fā)起程序 * 表示任意程序，添加保護對象，選文件規(guī)則將 C:\Program Files\Microsoft OfficePLUS\* 列為保護對象，保護動作全部選上（創(chuàng)建，讀取，修改，刪除，其實只要勾上創(chuàng)建即可達(dá)到目的），有程序觸犯上述規(guī)則時詢問以便提醒用戶。其他防護軟件有類似功能也是可以的，手動卸載軟件后靜等上鉤。

僅過了2天就咬鉤了，發(fā)起程序 MSOfficePLUS.exe，應(yīng)該是安裝包本體沒錯，操作目標(biāo)是創(chuàng)建 C:\Program Files\Microsoft OfficePLUS\2.5.1.37533 目錄。順藤摸瓜地找到發(fā)起操作進(jìn)程和父進(jìn)程，以下信息截取自火絨日志導(dǎo)出記錄：

可以非常清楚地看到安裝包本體和發(fā)起程序所在路徑，基本暴露了后臺服務(wù)進(jìn)程，微軟Office辦公套件在線升級服務(wù)，微軟自己對這個服務(wù)的描述如下：

由此可以推斷出軟件安裝的過程：微軟發(fā)動遠(yuǎn)控魔法，Office在線升級后臺服務(wù)進(jìn)程收到新任務(wù)后，調(diào)起? "C:\Program Files\Common Files\Microsoft Shared\ClickToRun\OfficeClickToRun.exe" /service，隨后從網(wǎng)絡(luò)下載或調(diào)起已下載好的本地安裝包，釋放到指定路徑 C:\Program Files\Common Files\microsoft shared\ClickToRun\OnlineInteraction\46da4f2f-e90b-4b4d-804d-aff94a326663_65aa\MSOfficePLUS.exe 后，其中 46da4f2f-e90b-4b4d-804d-aff94a326663_65aa 這一串序號非固定，視軟件包的文件版本而定，執(zhí)行 MSOfficePLUS.exe /S /NRC /NPPTC 后臺靜默安裝，安裝結(jié)束后自動清理安裝包文件，即使安裝失敗也會自動清理掉不留痕跡。所以上述情況僅會在安裝了微軟Office辦公套件的用戶電腦上發(fā)生，沒有Office辦公全家桶的用戶理論上就沒有這類困擾？

可能的解決方案，一是徹底禁用掉 Office 在線升級服務(wù)，但同樣也會屏蔽 Office 軟件的安全更新。二是干擾軟件安裝流程，手動卸載軟件后，自定義攔截 C:\Program Files\Common Files\microsoft shared\ClickToRun\OnlineInteraction\* 和 C:\Program Files\Microsoft OfficePLUS\ 目錄內(nèi)容的創(chuàng)建、讀取、修改、刪除，阻止軟件包本體的釋放與安裝。其他更優(yōu)的解決方案請自行摸索。

針對這次靜默推廣安裝，網(wǎng)上雖然沒什么討論熱度，但也能搜到幾篇文章，里面提到了什么微軟中國團隊、僅中國地區(qū)支持等相關(guān)字眼，這算什么？“入鄉(xiāng)隨俗”？我暫且不想評論什么中國特供之類的話題，但這種未經(jīng)用戶授權(quán)或在用戶完全不知情的情況下靜默推廣安裝軟件、成為某些商業(yè)軟件實驗小白鼠的行為，令人深惡痛絕。Win10 之后以及?Edge 強制自動更新也不是一天兩天的事，純屬被慣出來的壞毛病。

至于這個軟件本身，因為沒用過所以不予置評，有需要的人自然會用到。我自己是沒有這方面的需求和安裝意愿，如果真的是非裝不可，就請拿出最大的誠意和實力來證明自己，讓用戶自行選擇是否安裝。