如何防止WIX CAQuietExec記錄命令行？

Question

爲了防止安裝期間彈出命令窗口，我使用WIX內置的自定義操作CAQuietExec。

首先我定義了命令行：

<CustomAction Id="A01" 
     Property="QtExecCmdLine" Value="&quot;MyExe.exe&quot; /password [PASSWORD]" /> 

NB：密碼屬性被定義爲隱藏。這可以防止Windows安裝程序將屬性值寫入日誌。

然後，我打電話到嵌入式維克斯擴展：

<CustomAction Id="A02" BinaryKey="WixCA" DllEntry="CAQuietExec" Execute="immediate" Return="ignore" /> 

這工作得很好。

然而，當我去到臨時文件夾並打開了MSI日誌我看到下面的條目：

CAQuietExec： 「C：\ PROGRAM 文件\ MYEXE.EXE」/密碼INCLEARTEXT

即密碼以明文形式顯示而不是隱藏。

如何防止CAQuietExec從記錄明文密碼？

Answer 1

在SRC \ CA \ wcautil \ qtexec.cpp是該線路QuietExec功能：

WcaLog(LOGMSG_VERBOSE, "%ls", wzCommand); 

這以詳細模式記錄命令行。沒有條件停止記錄。

Answer 2

CustomAction標記具有HideTarget屬性，該屬性應該使自定義操作數據不會寫入日誌。

Answer 3

有很多方法來攻擊你的密碼。我可以看看ORCA的MSI。我可以在運行時運行WMIC路徑win32_process並查看命令行參數。將它從日誌中隱藏起來沒有多大價值。

我建議加密存儲在微星的密碼，並能夠解密它的你的EXE。根據您使用的密碼的不同，您可能還想採取其他措施，比如讓EXE在運行時生成一個隨機密碼，並在某些其他進程需要能夠訪問的地方將其加密/保存。

如果密碼是從用戶輸入進來的UI序列，你可以有隱窩的數據作爲第二屬性，然後傳遞到EXE自定義操作。或者，您可以將C++源代碼分發到QuietExec並將其修改爲不寫入日誌文件。

Answer 4

看看Preventing Confidential Information from Being Written into the Log File文章，尤其是點＃3。它基本上說，如果一個屬性被隱藏，但是調試策略被設置爲一個特殊值，命令行仍然會以明文形式轉儲到日誌文件中。驗證這是否是您遇到上述行爲的原因。

而且我不相信它可以在QuietExec CA的錯誤:)

Answer 5

花了幾個Google，並嘗試解決的辦法是創建proproperty和分配隱藏=「是」之前將值分配給屬性。在你的代碼中，你應該在賦值之前創建一個新的屬性QtExecCmdLine。

<Property Id="QtExecCmdLine" Hidden="yes"></Property> 

然後

<CustomAction Id="A01" Property="QtExecCmdLine" Value="&quot;MyExe.exe&quot; /password [PASSWORD]" /> 

然後

<CustomAction Id="A02" BinaryKey="WixCA" DllEntry="CAQuietExec" Execute="immediate" Return ....