WIX CAQuietExecがコマンドラインを記録しないようにするにはどうすればよいですか？

Question

インストール中にコマンドウィンドウがポップアップするのを防ぐため、WIXの組み込みカスタムアクションCAQuietExecを使用しています。

まず私は、コマンドラインを定義します。

<CustomAction Id="A01" 
     Property="QtExecCmdLine" Value="&quot;MyExe.exe&quot; /password [PASSWORD]" /> 

NB：PASSWORDプロパティが非表示として定義されます。これにより、Windowsインストーラがプロパティ値をログに書き込むことを防止します。

それから私は、埋め込まれたWIX拡張子を呼び出す：

<CustomAction Id="A02" BinaryKey="WixCA" DllEntry="CAQuietExec" Execute="immediate" Return="ignore" /> 

これが正常に動作します。

CAQuietExec： "C：\プログラム ファイル\ MyExe.exe" /パスワードINCLEARTEXT

私は一時フォルダに移動し、MSIを開くとき

しかし、私は次のエントリを参照してくださいログインします

eパスワードはクリアテキストで表示され、非表示にはなりません。

CAQuietExecがクリアテキストでパスワードを記録しないようにするにはどうすればよいですか？

Answer 1

のsrc \のCAで使用することができるとは思わない\ wcautil \ qtexec.cppはQuietExec機能では、この行です：

WcaLog(LOGMSG_VERBOSE, "%ls", wzCommand); 

ましたコマンドラインを冗長モードで記録します。ロギングを停止する条件はありません。

Answer 2

CustomActionタグには、カスタムアクションデータがログに書き込まれないようにするHideTarget属性があります。

Answer 3

パスワードを盗む方法はたくさんあります。私はORCAのMSIを見ることができました。実行中にWMICパスwin32_processを実行し、コマンドライン引数を確認することができました。ログからそれを隠すことは、ほとんど価値がないだろう。

私は、MSIに格納されているパスワードを暗号化し、exeで解読できるようにすることをお勧めします。このパスワードが使用されているかどうかに応じて、実行時にEXEがランダムなパスワードを生成し、他のプロセスが取得できる必要がある場合に暗号化/永続化するなどの他の手段を講じることもできます。

パスワードがUI入力のユーザー入力から来た場合は、データを第2のプロパティとして暗号化してEXEに渡すカスタム操作を行うことができます。あるいは、C++のソースコードをQuietExecにフォークして、ログファイルに書き込まないように変更することもできます。

Answer 4

Preventing Confidential Information from Being Written into the Log Fileの記事、特に3番のポイントをご覧ください。基本的には、プロパティが隠されていてもデバッグポリシーが特別な値に設定されている場合、コマンドラインはクリアテキストでログファイルにダンプされます。これが上記の動作を経験する理由であることを確認してください。

そして、私はそれがQuietExecのCAのバグ:)

Answer 5

いくつかのGoogle検索エンジンを使用して、プロポーザルを作成し、値をプロパティに割り当てる前にHidden = "yes"を割り当ててください。上記のコードでは、値を割り当てる前に新しいプロパティQtExecCmdLineを作成する必要があります。

<Property Id="QtExecCmdLine" Hidden="yes"></Property> 

その後

<CustomAction Id="A01" Property="QtExecCmdLine" Value="&quot;MyExe.exe&quot; /password [PASSWORD]" /> 

その後

<CustomAction Id="A02" BinaryKey="WixCA" DllEntry="CAQuietExec" Execute="immediate" Return ....