WinBlox

2004年4月22日 02:51 ike | | コメント(0) | トラックバック(1)

(2004/05/21 追記 ここから)
7.0.OPENのエントリを作成しました。

SEE:
WinBlox 7.0.OPEN (このblogより)
(2004/05/21 追記 ここまで)

・WinBlox @ UMBRELLA.NAME
http://umbrella.name/winblox/

ファイル操作とコマンド実行を監視して、操作を記録(レコードモード)、フィルタ(フィルタモード)するソフト。

2004/04/22現在のバージョンは6.0.OPEN。

最初に「注意」の項目↓を読んでおいた方がいいかも?

使ってみる

# 簡単なヘルプを表示
C:\> setupwb.exe

● 状態を表示する

# 現在の状態を表示
C:\> setupwb.exe status nocolor
# レコードモードの時はこんな行があるはず
NOTE : WinBlox configured to work in record mode.
# フィルタモードの時はこんな行があるはず
NOTE : WinBlox configured to work in filter mode.

「nocolor」オプションをつけないと、色分けして表示してくれます。
が、色が暗くて見難かったので「nocolor」オプションを付けました。(以下同じ)

● 削除(レコード/フィルタを停止)する

最初に削除(レコード/フィルタの停止)方法を説明。

C:\> setupwb.exe remove nocolor

各モードが停止し、ログファイルも消されます。

● レコードモード

設定ファイルは、実行プログラムと一緒に配布されている「WBLIST.TXT」を参考にするのがよさ気。
とりあえずバックアップを取っておいて書き換えます。
「WBLIST.TXT」を以下の様に編集します。
正規表現で、文字が0個以上ありって意味(大雑把)。

.*

レコードモードで実行します。

C:\> setupwb.exe record nocolor

「%WINDIR%\WBLOG.TXT」にログが記録されます。
改行コードは「0x0A(LF)」で書かれてるみたいです。
日本語を記録するのは苦手みたいです。
内部コマンド(dirとかcdとか)は記録されませんでした。

ファイル操作のログフォーマット(行頭の日時部分を除く)

createfile:[実行ファイル名(フルパス)] > [commandline(含む引数)] ==> [access type] --> [target file]

コマンド実行のログフォーマット(行頭の日時部分を除く)

commandline:[実行ファイル名(フルパス)] > [commandline(含む引数)]

記録するレコードを「WBLIST.TXT」で定義します。
上記ログフォーマットにマッチするように正規表現で記述します。
「.」に「" "(スペース)」とかの文字も含まれるみたい。
普通の正規表現では含まれましたっけ?

# コマンド操作のみ記録
^commandline.*
# regedit.exeを含む行を記録
regedit\.exe

「setupwb.exe remove」コマンドを実行してから、再度「setupwb.exe record」コマンドを実行します。

ちなみに、以下のファイルも作られてました。
「%WINDIR%\WBCONFIG.TXT」:現在のモードが書かれていました
「%WINDIR%\WBLIST.TXT」:フィルタ/レコードモードにした時に、setupwb.exeがあるフォルダからコピーされるみたい。

● フィルタモード

使い方はレコードモードと同じだと思います。
下に書いてある「注意」の項目を先に読んでおいた方がいいかも。

例えば、「WBLIST.TXT」を以下の様に編集します。

^commandline:.*\\regedit\.exe >.*

フィルタモードで実行します。

C:\> setupwb.exe filter nocolor

これで「regedit.exe」を起動できなくなります。
また、「%WINDIR%\WBLOG.TXT」にログが記録されています。

注意

フィルタモードで下手に設定すると、プログラムの動作がおかしくなるかも?

特に「WBLIST.TXT」に「.*」って書いてフィルタモードで動かすのは超危険な気がする。
コマンド類を何も受け付けなくて、電源をブチッと切るしかない(シャットダウンはできました。下記参照)のかな?
再起動しても、フィルタモードが継続してるっぽいから、最悪OS再インストールかも?
コワッ。(私の思い過ごしだと良いな。)

(2004/04/27 追記 ここから)
「WBLIST.TXT」に「.*」って書いてフィルタモードで動かしてみました。

  • ログオフ → できました
  • ログオフ後、ログイン → 止まっちゃいます
  • シャットダウン → できました
  • シャットダウン後、起動 → ブート中に再起動を繰り返しました
  • リブート → ブート中に再起動を繰り返しました

タスクマネージャも起動できないし、復旧方法はあるのかな?
外からレジストリを復元したりすると復旧できるのかな?
こわいこわい。
(2004/04/27 追記 ここまで)

既にレコード/フィルタモードで実行してる時に、更に実行するとシステムのリブートが必要になるみたい?

カテゴリ:

トラックバック(1)

このブログ記事を参照しているブログ一覧: WinBlox

このブログ記事に対するトラックバックURL: http://kinshachi.ddo.jp/mt/mt-tb.cgi/274

» WinBlox 7.0(SecuLog)~のトラックバック

ちょっと前に書いたけど、IE脆弱性の指摘でも活躍されているLiu Die Yuさんによる、Windows用のプログラム実行監視・フィルタ用ツールのWinBloxがバージョンアップされている様子。 変更点は、こちら。 -WinBlox 7.... 続きを読む

2004年5月16日 04:04

コメントする


画像の中に見える文字を入力してください。

このブログ記事について

このページは、ikeが2004年4月22日 02:51に書いたブログ記事です。

ひとつ前のブログ記事は「EarthLink Spy Audit」です。

次のブログ記事は「Googlebot/Test (bot)」です。

最近のコンテンツはインデックスページで見られます。過去に書かれたものはアーカイブのページで見られます。

最近のコメント

Powered by Movable Type 4.261