常駐プログラム隠蔽テクニック
タスクマネージャーに任意のプログラムを列挙されないようにする方法はないだろうか? Windowsにはプロセスという概念がありアプリケーションはそれぞれプロセス単位で動作しています。プロセスは「Ctr+Alt+Del」で起動されるタスクマネージャーで確認でき、これを見ると現時点で起動しているプロセスのすべてを監視することができます。 さて、Windows上で実行されているアプリケーションはすべてOSの管理下に置かれているわけであり、よってすべてのプロセスをOSは管理していることになります。つまりは「常駐させたいプログラムをタスクマネージャーから消し去ることは難しいのでは?」と思われるかもしれません。ということで、今回は常駐プログラム隠蔽テクニックと題してお送りしたいと思います。 私が使用したOSはWindowsXP、コンパイラはVC++.NETです。前提となる知識は、Win32API、DLL
実例で学ぶWin32API活用術
目次 戻る はじめに 第1章 デスクトップ上にショートカットを作成する方法 第2章 アプリケーションにディスクフォーマットを組み込む方法 第3章 サーバーが稼働中かどうかを調べる方法 第4章 Webサーバーを使った分散アプリケーションの作り方 第5章 Windows NTで動作するディスクユーティリティを作成する方法 第6章 Windows NTのログオンダイアログボックスをカスタマイズする方法 第7章 IMEを制御する方法 第8章 ダイヤルアップをプログラムで制御する方法 第9章 モジュールのロードを高速化する方法 第10章 Windows NTでファイルにアクセス権を設定する方法 第11章 アプリケーションが一意に判断できる値を得る方法 第12章 Windows NTでアプリを実行するユーザーを制御する方法 第13章 Windows NTでシステムの状態を取得する方法 第14章 Win
ホワイトハッカー道場:ITpro
組織化された犯罪者たちは,日々,ソフトウエアやシステムのぜい弱性を探し, あの手この手でユーザーやシステムを狙ってくる。ユーザーは犯罪者の手口を見破 り,対策を打つ自己防衛の力を養わなければならない。コンピュータやネットワー クの奥を知り尽くした正義のハッカー「ホワイトハッカー」が,コンピュータ・セ キュリティの深層を解説する。 【ハッカー】 一般に,コンピュータやネットワークに対して深い技術知識 を持ち,技術的な探究心が旺盛な人を指す。 OSの挙動を調べるために,何時間 もかけてソース・コードを読破してプログラミング技術などを磨く。 ボット,スパイウエア,標的型攻撃--。攻撃者の目的が自己顕示欲から金銭を得ることに変わる過程で,ユーザーやウイルス対策ソフトから発見されないようにするテクニックがマルウエアに追加されるようになった。それがルートキットだ。目に見えぬルートキットの恐怖を第一線で
他プロセスのメモリへのちょっかい@タブコントロール
2010年12月(1) 2010年10月(1) 2010年09月(1) 2010年08月(2) 2010年05月(1) 2010年03月(1) 2010年01月(1) 2009年12月(1) 2008年07月(1) 2008年04月(2) 2008年03月(3) 2008年02月(1) 2007年10月(1) 2007年08月(1) 2007年03月(3) 2006年12月(1) 2006年10月(1) 2006年06月(1) 2006年05月(1) 2006年04月(6) さて今回は毎度おなじみ@ITの会議室より、タスクバーのタスクボタンの情報を取得したいスレッドをネタに話を進めましょう。 私も以前タスクバーから特定アプリのタスクボタンを隠したいとか思って色々調べてみたことがあります。で、まず初めに知ったのがWindows XPからはタスクバーで使用されるコモンコントロールが変更され、も
Windows実行ファイルのバイナリ概要
EXEファイルには具体的に、どのような情報が格納されているのでしょうか。通常、Visual C++やVisual Basic、Delphiなどのコンパイラが自動的に生成してくれるので、考えることはありませんが、今回はこの疑問に真っ向から勝負を挑んでいきます。 EXEは魔法の箱? 筆者は「ActiveBasic」というネイティブコンパイラ搭載型の統合開発環境を開発しています。コンパイラ開発イコール、EXEファイルの仕様をかなり細かい部分まで理解しなければならないという状況に置かれることを意味します。 Javaや.NETが騒がれる昨今、あえてEXEファイルというディープな内容に迫っていこうということで本稿へ筆を入れ始めたわけですが、やはり、この手の話題はプログラマ魂がうずきます。このように感じる技術者の方は多いはず。しかしその反面、世の中にはアセンブラを書けないプログラマが数多く存在すると聞き
Windows/デバッガ検出 - す部屋
謎のメールたちAdmin デバッガを検出する方法 IsDebuggerPresent()を使う 以下を実行した結果、alが0以外ならデバッガあり mov eax,fs:[0x18] mov eax,[eax+0x30] mov al,[eax+0x02] まだ試していないが、pushfでTFを見てみる いずれも、簡単にそれを試すと検出している部分が簡単に特定されてしまうので、いくらか小細工が必要となる。 デバッガ検出コードの目くらまし VirtualAlloc→VirtualProtectで実行可能領域を動的に作り、その中に検出コードを作ってチェックする。コードを置くアドレスがランダムになっていると吉。 SEHを利用した特殊な処理 WindowsのSEHの仕組みをうまく使うと、あえて例外を発生させることで、デバッグレジスタを含むCPUレジスタの内容を変更できるようになる。 ハードウェア命令
Win32APIを使って動的に他プロセスのプロセスメモリを書き換える方法 - ペリャウドの日
昨日の記事の技術的解説みたいな感じです -1.書き換え箇所を探る 歌謡タイピング劇場は、仮想マシン上での起動チェックがかかっており、VMWare等の仮想マシン上においては「仮想マシンでは起動できません。」とのメッセージが出て起動する事ができない。 これを解決するためには、仮想マシン上で動作している事を判定しているルーチンの、直後の分岐命令を何らかの手段を使ってNOP等で潰す必要がある。 歌謡タイピング劇場自体は、さしたる解析・クラック対策もされておらず、OllyDbg等のデバッガやディスアセンブラを使う事によって容易に潰すべき分岐命令の箇所を特定する事ができる。 潰すべき位置は、メモリ上に配置された場合のアドレスではでは0x0043074Dと0x0043075Aからの各6バイトである。(各6バイトをNOP、つまり0x90で潰せば良い) exe内ではそれぞれ0x0003074Dと0x0003
「アセンブリ言語の教科書」の原稿
このテキストは、2005年7月にデータハウスから出版された「アセンブリ言語の教科書」の原稿をWEB用に修正したものです。WEB用に修正したといっても、誤植を直した程度であり、ほぼそのままの状態で公開しています。 現在でも「アセンブリ言語の教科書」は書店で売られており、一般に流通しているため、本来ならば、出版社との契約上、このようにフリーでWEB上に公開することはできません。しかし、「アセンブリ言語の教科書」は、発売後すでに一年を過ぎようとしているにも関わらず、現在でも安定した売り上げを伸ばしており、当初の予想を超えて多くの方々に読んでいただけました。 よって、出版社に「本書の値段が高くて、読みたくても買えない学生の方々や、まだ本書の存在を知らない人たちのために、原稿の一部をWEB上にも公開できないだろうか」と、相談を持ちかけたところ、本書に関わった編集者からも「原稿のすべては無理だが一部分
The J.Mazeppa swfからURLを抜き出し保存
まあ固定の画像が埋め込まれてるフラッシュなら適当にソフトで抜けばいいんですが、ちょっと高度な方法です。 けっこうあくどい事ができますが、まあ金銭が絡んでくることには使用しないでくださいね。 美人時計の画像を全部抜き出すとか、そんなことができるようです。 フラッシュ(.swf)が渡されたパラメータに応じて画像のURLを拾ってくるような場合、 クライアントのブラウザが画像URLにそのままアクセスしたような形のリクエストを送っているはずです。 このような場合、http://~で画像が拾える可能性が高いと思われます。 フラッシュの内部でGET http://~みたいなことを見えないように行っているのでそれを解析します。 いわゆるパケットキャプチャソフトの出番だと思うのですが、WindowsであればWireSharkってのがわりと有名です。 今回はhttpの80番くらいをパケットキャプチャできればい
目grep入門 +解説
2. いいわけ 1 • なぜかよくわからないけど好評だったらしい • でも – いみわかんねwww – 後半が意味不明 – つーかそれ目grep言わないでしょ • というツッコミが… • 頭おかしいというのがうけたらしい? – 全然おかしくないよ! • が、人によっては「ためになる資料です!!」というコ メントもあったり 2 / 83
ハンド (逆) アセンブルのための x86 ニーモニックの覚え方 - @a4lg のそろそろ技術的日記
バイナリ列を見て x86 のコードかな〜とニヨニヨできる人に、x86 のコードであること、だけじゃなく実際のコード列も読めるようになってほしい!そんな願いから、今回は hex dump のバイト列を見つめてハンド逆アセンブルできるようになるための、効率良い覚え方を紹介します。 今回は、32-bit x86 について解説するよ。 まとめて覚えておきたい 8 つの命令、add, sub, adc, sbb, and, or, xor, cmp (00h〜3Dh) これらの命令は近い所に配置されていて、しかも命令のルールがほとんど同じです。 つまり、ほとんど同じように覚えることができるのです。opcode map 上では次の領域が相当します。 0 1 2 3 4 5 6 7 8 9 A B C D E F 0 ■ ■ ■ ■ ■ ■ ←add ■ ■ ■ ■ ■ ■ ←or 1 ■ ■ ■ ■
初代ポケモンの文字コード - しろもじメモランダム
初代ポケモン(要するに赤・緑)の文字コードの解説ページを読んだので紹介。 文字コードリスト(ポケモン版) これを読めばわかるが、外で一般に使うJISだの Unicode だのとは違い、まさにポケモン専用の文字コードになっている。8ビットコードのようだ。 [改行] や [改ページ] といった制御コードが入っているのはもちろんのこと、「わざマシン」や「ロケットだん」のような単語にコードが割り振られていたり、さらには [主人公の名前] や [(戦闘時に)行動しているポケモン] を表すコードまである。 (半)濁音は合成用の(半)濁点を表すコードを利用する(つまり(半)濁音単独のコードはない)のかと思っていたが、そうではないようだ。0x00–0x4F の範囲のうち、制御コードがない符号位置は(半)濁音ですべて埋まっている*1。ただし、(半)濁音が1コードで表されるといっても一度の処理で表示できるわけ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ましゅラボ
サービス終了のお知らせ