WinBlox 7.0.OPEN

| | コメント(1) | トラックバック(0)

・WinBlox @ UMBRELLA.NAME
http://umbrella.name/winblox/
ルールに従って、Windowsのコマンド/ファイル操作を、記録/フィルタするソフト。

7.0.OPEN が出ていたので、Windows 2000に入れてみました。
結果からいうと、「まだ、普通に使用してるマシンに入れるのは怖い」と思います。。
「怖い」理由は下の方に書いてある「注意事項」の項目を参照して下さい↓。
実行するなら先に読んでおく事をお勧めします。
それとも、設定方法を間違ってるのかなぁ。。。?

ここに書いてある事は、私の環境で短時間だけ使用して書いているので、別の環境では異なった結果になるかも。
各自の責任で動かしてください。(どのエントリについてもそうだけど)

SEE:
WinBlox (このblogより)
「WinBlox 6.0.OPEN」について書かれています。

使い方

6.0.OPENとは、ログのフォーマット、コマンド引数、「WBLIST.TXT」の書き方など変わったようです。
また、「confirm」モードが追加されたようです。(なかったような?)
6.0 から使ってる人はルールの書き換えが必要になりますね。

「WBLIST.TXT」に各アクション(「record」「filter」「confirm」)の定義を書き「wbd.exe」で実行/停止/状態表示を行います。

ログファイルのフォーマット

# ファイルアクセスした時のログフォーマット
[日付] @ [時間] # [username]@createfile:[実行ファイル名(フルパス)] > [commandline(含む引数)] ==> [access_type] --> [target_file]
 
# コマンドのログフォーマット
[日付] @ [時間] # commandline:[実行ファイル名(フルパス)] > [commandline(含む引数)]

[access_type] の詳細は「File Security and Access Rights (Platform SDK: Storage)」を参照のこと。

「WBLIST.TXT」の書き方

[actions][regular_expression]

の形式で書きます。

[actions] は「record」「filter」「confirm」のいずれかで、各アクションの後ろに「.(ドット)」が必要です。
複数同時に選択することも可能で、「record.filter.」の様に続けて書きます。

  • 「record」→ログファイルに記録します
  • 「filter」→正規表現にマッチしたものをフィルタします
  • 「confirm」→正規表現にマッチすると確認ダイアログが出ます

[regular_expression] は「^」から始まる必要があります。
[regular_expression] はログファイルの「#」以降の文字列にマッチするように正規表現で記述します。(多分)

[regular_expression]に「(?!hoge)」と書くと、hogeを含まない(not include)になるようです。
詳細はRegular Expression Simple Usageを参照のこと。

使ってみる

「WBLIST.TXT」を以下のようにします。
これで、IE関係のアクションを記録します。

record.^.*\\iexplore\.exe > .*

winbloxを起動します。

C:\> wbd.exe start NoColor
WinBlox Setup Console  Version 7.0.OPEN
Copyright (C) Umbrella Security Research 2004. All rights reserved.
Built for Windows 2000, Windows Xp and Windows 2003.
--------------------
BEGIN: START WinBlox
CHECK: List file("WBLIST.TXT") ... OK
CHECK: WinBlox monitor DLL("WBM.DLL") ... OK
CHECK: Ability to access files in Windows directory ... OK
CHECK: Ability to access system registry ... OK
SETUP: Trying to configure Windows NT system registry ... OK
SETUP: Trying to install WinBlox monitor DLL("WBM.DLL") ... OK
SETUP: Trying to install pattern list("WBLIST.TXT") ... OK
NOTE : Successfully started WinBlox.
ENDOF: START WinBlox
--------------------
Hint: Run this program without any parameter to get help.

「WBLIST.TXT」が「%WINDIR%\WBLIST.TXT」にコピーされ、WinBloxが起動します。
「%WINDIR%\WBLOG.TXT」にログが記録されます。

ステータスを表示するには、以下を実行します。

C:\> wbd.exe status NoColor
WinBlox Setup Console  Version 7.0.OPEN
Copyright (C) Umbrella Security Research 2004. All rights reserved.
Built for Windows 2000, Windows Xp and Windows 2003.
--------------------
BEGIN: Query current status.
CHECK: Ability to access files in Windows directory ... OK
CHECK: Ability to access system registry ... OK
CHECK: WinBlox monitor DLL("WBM.DLL") ... OK
CHECK: List file("WBLIST.TXT") ... OK
CHECK: Windows NT registry ... OK
NOTE : WinBlox monitor DLL("WBM.DLL") is ready.
NOTE : List file("WBLIST.TXT") is ready.
NOTE : WinBlox monitor is activated.
ENDOF: Query current status.
--------------------
Hint: Run this program without any parameter to get help.

winbloxを停止します。

C:\> wbd.exe stop NoColor
WinBlox Setup Console  Version 7.0.OPEN
Copyright (C) Umbrella Security Research 2004. All rights reserved.
Built for Windows 2000, Windows Xp and Windows 2003.
--------------------
BEGIN: STOP WinBlox
CHECK: Ability to access files in Windows directory ... OK
CHECK: Ability to access system registry ... OK
SETUP: Trying to deactivate WinBlox in Windows NT system registry ... OK
SETUP: Trying to remove WinBlox monitor DLL("WBM.DLL") ... SKIPPED
NOTE : Target file exists but cannot be deleted at present.
SETUP: Trying to remove list file("WBLIST.TXT") ... OK
SETUP: Trying to remove log file("WBLOG.TXT") ... OK
HINT : Do reboot and then remove again if WinBlox monitor DLL is in use.
NOTE : WinBlox has been deactivated, but some files are not removed.
ENDOF: STOP WinBlox
--------------------
Hint: Run this program without any parameter to get help.

「%WINDIR%\WBLIST.TXT」「%WINDIR%\WBLOG.TXT」が削除され、停止します。

ログを見ると日本語に弱いようです。

次に、WBLIST.TXTを以下の様に編集します。
「test.txt」にマッチした場合、確認ダイアログを表示します。

confirm.^.*\\test\.txt.*

メモ帳で「test.txt」と言うファイル名で保存すると以下のダイアログが表示されます。

WinBlox 70 の confirmアクション

でも、他のエディタだとダイアログが出ないでそのまま編集できたりしてしまうことも・・・・。

以下の様にすると、ダイアログなしに実行できなくなりました。

filter.^.*\\test\.txt.*

注意事項

7.0.OPEN のコマンドを実行すると下記の場所で止まってしまうことがあります。

C:\> wbd.exe status NoColor
(略)
CHECK: Ability to access files in Windows directory ...

本来なら、この後に「OK」が表示されますが、止まってしまいます。

ソースの「wbd.dpr」を見ると、「%WinDir%WBTEST.TMP」を書き込んで削除してる部分で止まってるっぽい?
%WinDir%に書き込み可能かチェックしてるっぽい。
GetWinDir()ができないでいるのかな?
よく分かんないけど。

で、この状態で再起動すると、ブルー画面になってしまいます。

STOP: c000021a Unknown Hard Error
Unknown Hard Error
ブルー画面より

ちなみに、復旧方法はわかりません。
セーブモードでも起動できませんでした。
私は再インストールしました。
回復コンソールでも使えばよかったかな?

私の環境では、recordアクションでおかしくなってるらしい。
こんな感じのがだめでした。
あぁ、何でムキになって調べたんだろう・・・(ノ_-、)
すごい時間かかった。

record.^.*
record.^.* > .*
record.^.*\.exe > .*
record.^.*@createfile:.*
record.^.*@createfile:.* > .* ==> .* --> .*
record.^.*@createfile:.*(?!WBLOG).*
record.^.*@createfile:.*\\(?!WBLOG).*
record.^.*@createfile:.* > .* ==> .* --> .*\.(?!WBTEST).*
record.^.*(?!\\WINDOWS\\WBLOG\.TXT|\\WINNT\\WBLOG\.TXT).*
record.^.*@createfile:.* > .* ==> .* --> .*\.(?!TXT$)

1行目はデフォルトの「WBLIST.TXT」に書かれてるんだけどな。(コメントアウトされているけど)

私の環境では、以下の設定では動きました。

record.^commandline:.*\\wbd\.exe.*
record.^commandline:.* > .*
confirm.record.^.*\\notepad\.exe.*
filter.record.^.*\\notepad\.exe.*

後、「WBLIST.TXT」を以下の様にすると終了できなくなりますが、「%WINDIR%WBLIST.TXT」を直接編集して該当行を無効にしてしまえば、実行できるようになりました。
(コンソールアプリはconfirmでも確認ダイアログが出ないみたい?)

confirm.^commandline:.*\\wbd\.exe.*
confirm.^.*\\wbd\.exe.*

以下の設定は今回は試してません。
「6.0.OPEN」のエントリを参照して下さい。

confirm.^.*
filter.^.*

トラックバック(0)

このブログ記事を参照しているブログ一覧: WinBlox 7.0.OPEN

このブログ記事に対するトラックバックURL: http://kinshachi.ddo.jp/mt/mt-tb.cgi/289

コメント(1)

ike :

Liu Die Yuさんからコメントを貰いました。
ありがとうございます。
だけど、スパムと間違えて、勢いあまって、削除してしまいました・・・。
削除ボタンを押した直後に「あれ?」って気づいて・・・。
以下、頂いたコメント。

> a much improved version of winblox is available:
> http://umbrella.name/computer/winblox/
>
> thank you for your interest in our products,
>
> Liu Die Yu
> Posted by: liudieyu at 2005年03月14日 18:30

お返事、お返事。

Thanks for your comment.
I get many spam comment every day.
I have deleted the comment in mistake for spam comment.
Sorry.

I'll try new version of winblox later.
thanks.

つうじんのかな ^^;

コメントする


画像の中に見える文字を入力してください。

このブログ記事について

このページは、ikeが2004年5月21日 15:01に書いたブログ記事です。

ひとつ前のブログ記事は「Googleの検索関係」です。

次のブログ記事は「普通のプログラムのサービス化」です。

最近のコンテンツはインデックスページで見られます。過去に書かれたものはアーカイブのページで見られます。

最近のコメント

On WinBlox 7.0.OPEN
  • ike: Liu Die Yuさんからコメントを貰
Powered by Movable Type 4.261