Digital Travesia
| Preamble | Tutorials | Tools | References | Books | Codes/Patchers | Questions/Suggestions | Links | Contact |
Update 2023.11.15
お知らせ 『デバッガによるx86プログラム解析入門 【x64対応版】』について
 |
今般、当Webサイト管理人が2007年に執筆させて頂いたプログラム解析入門書のリメイク(加筆修正版)となる、『デバッガによるx86プログラム解析入門 【x64対応版】』を執筆致しました。発売日は2014年10月22日です(電子書籍版は2018年9月14日)。 この書籍が、情報セキュリティ、プログラミング、ゲーム解析およびリバースエンジニアリングなどでの各種プログラム解析に関して、一人でも多くの方のお役に立てることを切に願います。 この書籍の詳細情報につきましては、下記の専用ページを参照願います。 ・本書関連情報ページ ・当サイト推薦図書ページ |
今次更新
◆11月15日更新- 汎用プロセスメモリエディタ兼デバッガ『うさみみハリケーン』のバージョン0.40正式版を公開しました。
今次バージョンでは、Antimalware Scan Interface (AMSI)という仕組みを使って、PCに導入されているマルウェア対策ソフトウェアが行うスキャンを、当ソフトウェアから行えるようにしました(解説)。スキャン対象は、プロセスメモリ上の任意の領域や、対象プロセスで使用されるモジュールあるいは実行ファイルです。
また、対象プロセスにCLR(共通言語ランタイム)をロードさせ、.NET Framework用の任意のマネージドコードを注入して実行する機能を実装しました(解説)。
旧バージョンをお使いの方は、機能性や安全性を高めた当バージョンにバージョンアップされることを強くお勧めします。このソフトウェアが、少しでも多くの方のお役に立つことを願います。
<今次更新内容一覧>
・新型32ビット版「UsaMimi32.exe」と64ビット版「UsaMimi64.exe」で以下の改良
Antimalware Scan Interface (AMSI)でのプロセスメモリ領域やモジュールのスキャンに対応
.NET Frameworkのマネージドコードを注入して実行する機能を実装
プロセスの各種情報表示機能で特権関連の表示内容を改良
プロセスの各種情報表示機能でウィンドウのプロパティの表示内容を改良
プロセスメモリ選択範囲へのファイルアップロードで選択範囲自動拡張に対応
その他各種機能の操作性関連や安全性関連の改良および変更
・同梱YARAルール集を更新
・バージョン0.40最新オンラインヘルプ
・オンラインヘルプ内 Google検索
・プラグインサンプルのソースコード集
・付属ソフト「青い空を見上げればいつもそこに白い猫」用「Detect It Easy」DLL版
今次更新 過去ログ
△Preamble
このサイトについての注意事項
- 当サイトは、公益のための、あるいは個人使用におけるユーザーの利便性向上を目的とした、プログラム開発・解析関連の技術情報提供用サイトです
- 逆アセンブラやデバッガなどによる、プログラム開発・解析に役立つコンテンツをメインとして取り扱います
- オンラインゲームの解析・改造は、その影響が他のユーザーにまで及び、上記当サイトの目的にそぐわないため、取り扱いません
- 当サイトの解説等に基づくプログラムの解析・改造や、紹介ツールの使用は、総て自己の責任において行って下さい
- 当サイトのコンテンツを、当サイトの目的に反して違法行為へ悪用することを禁止します
- 当サイトのコンテンツは、その一部・全部を問わず無断転載を禁止します
- 当サイトへのリンクは、配布ファイルへの直リンクでなければご自由にどうぞ
△Tutorials
BlueAshさん提供分
- (株)ビジュアルアーツ製汎用プログラムに係る解析及び改造について
- ・彼の 「AIR」 解析結果 もどうぞ
- ビジュアルアーツのRealLive(AVG2000)システムに係る考察(暫定版)
- ・
- CDチェック解除に係る基本的アプローチ及びケーススタディ
- CD/DVDドライブの判定処理に着目/諸般の事情により公開中止
- ゲームの各種処理に係る高速化及びメニュー項目使用制限の解除について
- ・
- 美少女ゲームの改造対策に係る類型的考察及び汎用アプローチについて
- セーブデータ暗号化解除等、SoftICEを用いた解析例/諸般の事情により公開中止
- Light製汎用シナリオインタプリタ(Malie.exe)及び「White Album」(Leaf)の解析メモ
- デバッグモード出現/デバッグ用メニュー及びダイアログ強制出現/最前面表示解除/セーブデータ圧縮回避等/諸般の事情により公開中止
うさぴょん製作分
- オフセット−アドレス変換の原理とCDチェック解除への応用
- 諸般の事情により公開中止/「うさみみハリケーン」同梱PEエディタに参考となるオフセット−アドレス変換機能あり
- メッセージトラップ型CDチェック解除とその応用
- エラーメッセージ表示処理に着目した、従来の手法より遥かに簡易なCDチェック解除手法/諸般の事情により公開中止
- 「VMware」を用いたフルスクリーン型ゲームへの対処
- ・「スペシャルねこまんま57号 Ver1.07b1以降」を用いて、メモリ検索からブレークポイント設定まで一連の解析を行います
・リモート解析は「うさみみハリケーン」による「スペシャルねこまんま57号」遠隔操作でも可能です - 改造初心者向け練習用プログラム No1
- CDチェック解除等ゲーム解析の初歩/XOR処理も可能な汎用ゲーム改造機能付き/諸般の事情により公開中止
- 改造初心者向け練習用プログラム No2
- メニューバーのメニューやポップアップメニューの解析・改造
- 改造初心者向け練習用プログラム No3
- ・パラメータ減少回避(無敵化)/変動アドレス(ポインタ)/キーボード及びマウス入力処理/パラサイトルーチン作成等
・アプローチ解説テキスト及びアセンブリ言語のソースコード同梱
参考ソースコード/公開サイト
- 『うさみみハリケーン』用プラグインサンプル ソースコード集
- プロセスメモリ書き換え等、プログラム解析・改造ツール作成の参考になるC++言語ソースコード
- 改造初心者向け練習用プログラム No1 ソースコード
- TASM(Turbo Assembler)製改造ツールのアセンブリ言語ソースコード
- PE2HTML ソースコード
- PEファイル解析結果出力ツールのアセンブリ言語ソースコード/WinAsm Studio用プロジェクトファイル同梱
- Memory.dll・HMemory.dll
- 各種言語用のプロセスメモリ操作ツール作成支援ライブラリ
その他
- C言語何でも質問サイト
- シューティングゲームなどのゲームプログラミングの解説
メモリ・セーブデータ解析関連の解説もある(「新・ゲームプログラミングの館」内) - Web/DB プログラミング徹底解説
- プログラム解析の参考になるWindows内部動作などの解説あり(「Windows 徹底解説」欄)
- 『ExGAME』Vol6の82・83ページ逆アセンブルコードリストのレイアウト修正版
- ・
△Tools
リバースエンジニアリング OllyDbg・うさみみハリケーン・スペシャルねこまんま57号
- OllyDbg
- ・多機能デバッガ/柔軟なブレークポイント設定が可能/API関数のパラメータ解析機能あり
・OllyDbg関連Q&A
・OllyDbg1.08日本語版ヘルプ(ベータ版/ねこねこさん製作) - OllyDbg1.08b用日本語化パッチ
- DokoDonさん製作のプラグイン同梱
- OllyDbg1.08b用日本語化追加パッチ
- ・muffinさんパッチ情報提供
・子ウィンドウ関連メニュー項目の表示位置が変更されるのを抑制
・アセンブリ言語のソースコード同梱 - OllyDbg1.10用日本語化パッチ
- ・DokoDonさん製作のプラグイン(2004/11/01版)同梱
・同梱説明書にある日本語化手順を行わないと日本語化に失敗します(パッチ実行だけでは日本語化が完了せず文字化けが生じる) - うさみみハリケーン Ver 0.40
- ・汎用プロセスメモリエディタ兼デバッガ/改造コード実行/各種の編集および検索機能/MDIダンプ表示ベースのGUI
・デバッガ(HBP/INT3/VEH対応)/逆アセンブラ/プロセス実行速度調整/プロセスの詳細情報を表示
・新型32ビット版(YARA対応)を同梱
・64ビット版(YARA対応)を同梱
・PEiD互換で仲介DLL(Proxy DLL)ソースコード出力可能なPEエディタ(32/64ビット版)を同梱
・YARAとDetect It Easy対応およびTrIDとStegsolve互換のバイナリデータ視覚化(13パターン)可能な汎用ファイルアナライザを同梱
・x86/x64対応の簡易アセンブラ兼逆アセンブラを同梱
・プロセスが行うファイル・レジストリ・ネットワーク・スレッド関連操作やメモリ確保・DLLロード等の挙動解析用プロセスモニターを同梱
・各種ドキュメントへの全文検索と文字列抽出および画像や画面へのOCR(光学式文字認識)対応の簡易エクスプローラーを同梱
・式入力型演算ソフトおよび多倍長整数演算ソフトを同梱
・プログラム解析での使用も想定した汎用ボタン型ランチャーを同梱
・プラグイン対応(ジョイパッド操作でキー・マウス入力やマクロおよび改造コードを実行するプラグイン等を同梱)
・情報セキュリティ分野で有用なYARAルール集を同梱
・その他プログラム解析用の機能を多数実装
・最新オンラインヘルプ
・オンラインヘルプ内 Google検索
・プラグインサンプルのソースコード集
・同梱汎用ファイルアナライザ用「Detect It Easy」DLL版 - スペシャルねこまんま57号 Ver1.10
- ・汎用プロセスメモリエディタ兼デバッガ/改造コード実行/変動サーチ機能他/Windows 95/98/Me/2000/XP対応
・プロセスメモリ関連以外にも解析に有用な多数の機能を実装しています
・DEPの適用対象にすると起動不可
・非対応OS上で使用するための補助ツール(Neko57Helper.exe)をうさみみハリケーンに同梱 - STAND-BY
- スペシャルねこまんま57号及びうさみみハリケーン用機能強化ツール/バイナリファイルの編集を可能にする
- ねこまんまの調味料
- スペシャルねこまんま57号及びうさみみハリケーン用改造コード入力補助ツール/16進の連続データのテキスト出力可能
デバッガ・逆アセンブラ・逆コンパイラ
- IDA
- 逆アセンブラ兼デバッガ/処理の流れのグラフ化など解析能力が高い/シェアウェア(フリー版もある)
- Ghidra
- アメリカ国家安全保障局(NSA)が開発した高機能なリバースエンジニアリングツール
- Debugging Tools for Windows
- Microsoft製デバッグツール群/カーネルモードデバッガ/ユーザーモードデバッガなど
- x64dbg
- x86/x64に対応するオープンソースのデバッガ
- Cutter
- 多機能なリバースエンジニアリングツール/逆アセンブラ/逆コンパイラ/処理の流れのグラフ化
- Immunity Debugger
- リバースエンジニアリング用高機能デバッガ/Pythonによる機能拡張が可能
- Syser Kernel Debugger
- SoftICEの後継をうたうGUIカーネルモードデバッガ/動作安定性はSoftICEよりも低い/シェアウェア
- RetDec
- PEその他各種形式の実行ファイルに対応する逆コンパイラ/オンライン版あり
- Miasm
- Pythonベースのリバースエンジニアリング用フレームワーク/複数の派生版あり
- Hopper Disassembler
- 逆アセンブラ兼簡易逆コンパイラ/32・64ビットPEファイル対応/処理の流れのグラフ化/シェアウェア
Linux・MacOS用/現在ではWindows用は配布していない - PeRdr
- ・逆アセンブラ(CUI)/クロスリファレンス対応/参照文字列表示対応/バイナリデータ非表示可
・エクスプローラへの登録用レジストリファイル(日本語説明つき) - dispe
- 逆アセンブラ(CUI)/プロセスメモリにロードされたメインモジュールを逆アセンブル可能
- Dependency Walker
- PEファイルのインポート・エクスポート関数一覧等の依存関係を出力
- ImpREC
- マルウェア等のアンパック用IAT再構築ツール/OllyDump、OllyDumpEx、Scyllaと同種
- ILSpy
- .NET対応アプリケーション用の逆コンパイラ/派生版のdnSpyやdnSpyExあり
- DeDe
- Delphi製ソフト用逆コンパイラ兼逆アセンブラ/BCB(Borland C++ Builder)製ソフトの解析にも有用
ヘキサエディタ(バイナリエディタ)・リソースエディタ・コンバータ
- 日本製のヘキサエディタ(Vectorの該当カテゴリ)
- ・Stirling 基本的な機能をカバー
・BZ 基本的な機能とファイルマッピングに対応/改良版(オープンソース)
・Moontail 基本的な機能と洗練されたユーザーインターフェースを備える - HxD
- ヘキサエディタ/プロセスメモリエディタ兼用/基本的な機能を実装/ポータブル可
- Hex Workshop
- ヘキサエディタ/機能性や柔軟性が高い/ファイル比較で削除・挿入・変更箇所の表示可/古いバージョンは2バイト文字を正しく表示可能/シェアウェア
- AnalyzeBin
- バイナリファイル解析ツール/指定した構造体やデータ型を用いた表示・編集が可能
- Resource Hacker
- リソースエディタ/スクリプトによる処理自動化に対応
- CyberChef(Webツール)
- デジタルデータの変換・復号・展開・抽出といった各種処理に対応/ダウンロードしてオフラインで使用可能
モニター
- Hybrid Analysis(Webツール)
- 実行ファイルの自動解析(マルウェアの挙動確認用)/同種にANY.RUNなど
- Process Monitor
- レジストリ・ファイルアクセス等モニター/配布元サイト『Sysinternals』には他にも有用なツールあり(解説書)/活用例1/活用例2/参考
- API Monitor
- API関数呼び出しの監視と情報表示
- Wireshark
- パケットモニター・ネットワークプロトコルアナライザ
- Attack Surface Analyzer
- ソフトウェアをインストールする際のシステムへ加えられたファイルやレジストリ等の変更を検出/SystemExplorerに類似機能あり
- RegFromApp
- 解析対象プロセスのレジストリ操作結果を出力可能
- Winspector
- ウィンドウメッセージモニター/再配布
パッチャー
- WDiff
- バイナリデータ差分パッチ作成ツール/基本的な日本語化パッチ作成等に有用
- udm差分ファイル作成ツール - Free Edition
- バイナリデータ差分パッチ作成ツール/日本語化パッチ作成等に有用
フォレンジック・アンチルートキット
- CDIR Collector
- インシデントへの初動対応向けデータ保全ツール/解説/同種にtriage-irなど
- FTK Imager
- ディスクイメージの作成や解析/全メモリ内容のダンプ/「Lite」は最小構成のインストール不要版
- Volatility
- フォレンジックツール/メモリダンプファイルの解析用/GUI操作簡易化ツールあり
- FireEye Market Freeware Apps
- FireEye社(現Trellix社)が提供する無償の情報セキュリティ関連ツール群
- FLARE VM
- リバースエンジニアリング環境構築の簡易化ツール
- NoVirusThanks社 公開フリーウェア
- NoVirusThanks社が提供する無償の情報セキュリティ関連ツール群
- GMER
- カーネルモードやユーザーモードでの各種フックやプロセス隠蔽などを検出
- PE-sieve
- 特にマルウェアが用いるプロセスメモリ上でのプログラムコード書き換えや各種フックを検出
- Win2K Kernel Hidden Process/Module Checker
- Kernel native API hooking等による隠蔽されたプロセスをリストアップ
- Win2K/XP SDT Restore
- Kernel native API hookingに伴うService Descriptor Table (SDT)書き換え箇所を元に戻す
プログラミング
- Visual Studio Community
- Microsoft社製の無償で提供されているプログラミングツール群(有償Professional版の条件付き無償化版)
過去に配布されていた「Visual Studio Express Editions」の上位代替ツール - MSDN ダウンロード センター
- Microsoft製品のダウンロードリンク集
- MASM32
- MASMを同梱したアセンブリ言語用開発環境
- WinAsm Studio
- ・MASM用統合開発環境/TASM使用時にも役立つ視覚的に操作可能なリソースエディタを実装
・公式サイト閉鎖:再配布(本体+テンプレートなどのフルセット) - TitanEngine(改良再配布版)
- アンパッカーの製作に有用な多機能ライブラリ/使用例
その他
- BES
- ゲーム等対象プロセスのスレッドを外部から断続的に停止させCPU占有率を低下させる
- DXWnd
- DirectXアプリケーション用の汎用ウィンドウモード化ツール/同サイトに仲介DLL製作補助ツールあり/派生英語版
- Window Mode Patch for Game
- PCゲームの解像度変更・強制ウィンドウモード化ツール
- AVG32シナリオファイル解凍・分割ツール
- ビジュアルアーツのAVG32システム用/LittleNoiseさん提供
△References
解析に有用な資料
- Intel 64 および IA-32 インテル・アーキテクチャ・ソフトウェア・デベロッパーズ・マニュアル
- ・中巻(Volume 2)にアセンブリ言語の命令リファレンスがあります
・古い Intel 64 ソフトウェア・デベロッパーズ・ガイド日本語版:第1巻/第2巻
・古い IA-32 ソフトウェア・デベロッパーズ・マニュアル日本語版:上巻/中巻A/中巻B - Microsoft Windows SDK
- ・WindowsAPI解説書等/API関数やWindowメッセージ等の参照と体系的な理解に有用
・API関数やWindowメッセージの参照ならば、現在ではネットでの検索の方が簡便となっている - PE Format 参考資料
- PEファイルの仕様書/削除された正式文書「pecoff.docx」の代替と見られる
- PICS
- 各種ファイルフォーマットやオペコード等を図示
- WEBster(Art of Assembly Language Programming and HLA by Randall Hyde)
- アセンブリ言語でのプログラミングに関する多くの資料と有用なリンクがあります
- S.S’S HOMEPAGE
- PEフォーマット解説文書邦訳やMASM32関連資料があります
検索サイト・用語集
- Microsoft technical documentation(旧Microsoft Docs、旧MSDN Library) (英語)
- ・API関数等の簡易的な参照に有用
・日本語版は未翻訳などで情報量が劣る
・ジャンル別のAPI関数解説:Windows API インデックス/EternalWindows
・OS別の新規追加API一覧:Functions by Release
・Native API関連資料:The Undocumented Functions by NTinternals/NtDoc
・カーネルモード用構造体一覧:Windows Vista Kernel Structures - IT用語辞典 e-Words
- ・
- ASCII.jpデジタル用語辞典
- 収録している用語数が多い
- サイバーセキュリティ情報局 キーワード事典
- 情報セキュリティ関連用語集
- セキュリティエンジニアのための English Reading
- セキュリティエンジニア向け英語読解力向上用の資料と英単語集
プログラム解析関連書籍
- デバッガによるx86プログラム解析入門 【x64対応版】
- プログラムの動作原理、解析ツールの説明および実践的なプログラム解析の演習等といった、プログラム解析の基本事項を、ゼロから始める初心者でも理解できるように解説/「x64対応版」は旧版を加筆修正して新規に出版したもの/電子書籍版あり
- 解析魔法少女美咲ちゃん マジカル・オープン!
- 公益のための、あるいはユーザー個人の利便性向上を図るプログラム解析・改造を学ぶ上でも参考になる、プログラム解析の基本事項の解説や、リバースエンジニアリングされないソフトウェア作成のための技術的解説
- クラッカー・プログラム大全
- 公益のための、あるいはユーザー個人の利便性向上を図るプログラム解析・改造に応用可能な、リバースエンジニアリング手法の解説
- クラッキングバイブル
- 公益のための、あるいはユーザー個人の利便性向上を図るプログラム解析・改造を学ぶ上でも参考になる、プログラム解析の基本事項等の解説
- アセンブリ言語の教科書
- プログラム解析能力の向上に有用な、アセンブリ言語の基礎知識やプログラミング手法等の解説
プログラム解析関連資料・コラム等
- セキュリティリサーチ 記事・研究論文・発表資料
- リバースエンジニアリング・セキュリティ関連資料
- (新)APIから知るWindowsの仕組み
- 「APIで学ぶWindows徹底理解」著者による解説
- リバースエンジニアリング入門
- 「アナライジング・マルウェア」著者による解説
- .NETの動作原理を基礎から理解する!
- Windows OS上でアプリケーションが起動する仕組みの解説など
- ITセキュリティのアライ出し
- マルウェア解析についてのコラムあり
- マルウェア対策研究人材育成ワークショップ
- マルウェア解析に関連する研究発表など
- IDA Proを用いたマルウェアの解析例
- マルウェア(ランサムウェア)の解析例を用いた実践的なアプローチ手法や考え方などの解説
- SECCON x CEDEC CHALLENGE 開会式 / 不正コピーとチートの攻防戦
- 著名な識者達による不正コピーとチート問題への考察
- オンラインバンキングマルウェア「DreamBot(Ursnif/Gozi)」の今
- マルウェアの感染過程における挙動や仕組みについての技術的解説
法律関連
- 情報セキュリティに関連するソフトウエアの取扱いに係る法律上の位置付けに関する調査
- IPAのレポート/リバースエンジニアリングに関する法的問題についての解説を含む
- 諸外国の立法例(研究、リバースエンジニアリング関係)
- 文化審議会著作権分科会法制問題小委員会(第4回)配付資料
- 情報セキュリティとリバース・エンジニアリングについて
- IPAによる文化審議会著作権分科会法制問題小委員会(第5回)資料
- 文化審議会著作権分科会法制問題小委員会(第9回)議事録
- 中間まとめ(案)/リバース・エンジニアリングに係る法的課題についての議論/結果:最終まとめ(案)
- プログラムの著作権
- プログラムの著作権関連資料と判例集
- IT・システム判例メモ
- 弁護士によるIT関連裁判の判例紹介と解説
- 「Winny」開発者の無罪確定へ、最高裁が検察側の上告を棄却
- ソフトウェアの違法行為への利用に対する、製作者の幇助行為としての可罰性について/判決文
- 電子計算機損壊等業務妨害事件 捜査概要
- オンラインゲームにおけるチート行為の取締り例
解析関連トピック
- 世界はリバースエンジニアを必要としている
- ・
- 国内でもリバース・エンジニアリングの議論を
- ・
- リバースエンジニアリングがIT業界に活を入れる
- あくまで考え方のひとつ
- 『GTA』問題で注目を浴びた「ゲーム改造マニア」たち
- 「改造マニアのコミュニティーが関心を持ってくれているおかげで、消えずにすんでいるゲームもあるのだから」
- 重要性を増す「チートコード対策」
- プレーヤー間のトラブルを招くネットゲームの解析・改造について
△Codes/Patchers
BlueAshさん提供分
- 「AIR」改造コード及び解析に係る補足等
- ・
- 「雛ちゃんの唄声」(Enfini)開発者専用モード他出現用セーブデータ及び改造コード
- ・
- 「D+VINE[LUV]」セーブデータ暗号化・復号化回避用プロセスパッチャー兼ゲームランチャー
- 諸般の事情により公開中止
△Questions/Suggestions
Q&Aについて
- ・ここでは逆アセンブラやデバッガを使ったプログラムの解析・改造へのご質問等を紹介していきます
- ・
- プログラム解析一般Q&A
- プログラム解析全般に関するご質問と回答です
- 『OllyDbg』Q&A
- OllyDbg以外のデバッガに関する情報もあります
△Links(順不同)
ゲーム解析関連(逆アセンブラ・デバッガ使用/日本語かつ適法サイトのみ)
- DANAの部屋
- ゲーム解析スキル向上に有用なとてもわかりやすい改造講座があります
- Nice cheat.
- 東方シリーズ(同人ゲーム)等の、ゲーム解析を勉強する上で参考になる改造コードが充実している
- 響 舞名のgdgdブログ
- 同人ゲームを主とするSpoilerAL用スクリプトや解析チュートリアルあり
- DESERT RAIN
- PCゲームごとのスクリプトエンジンについて、一覧表(攻略資料欄)や、実際に行った解析アプローチ(日記欄)の情報あり
画像解析関連
- 山崎 淳のwebぺーじ
- ・
- せーじのぺーじ
- 「せーじ技術的に語る」のコーナーに画像解析記事があります
その他
- SAGAO.Zのホームページ
- 多くのゲームをカバーする、有用なPCゲームのセーブデータ配布サイト
- Re: Computer Game Addiction
- あなたにとってゲームとは?
△Contact
Copyright © 1996-2023 Usapyon / Luca All rights reserved.