Webスペース「http://www.k3.dion.ne.jp/~dt2/」に設置していた旧来の『うさみみハリケーン』オンラインヘルプは、プロバイダの事情により2017年10月末で閲覧不能となったことから、この新しいドメインに移転しています。下記のリンクを参照願います。 旧オンラインヘルプの各ページのURLは、「http://www.k3.dion.ne.jp/~dt2/」部分を「https://digitaltravesia.jp/」に置き換えれば新しいURLになります。 新しいURLおよび関連Webページの探索には、以下の「うさみみハリケーン　最新オンラインヘルプ内検索」や「主要項目リンク」をお使いください。

この Writeup について 「 picoCTF 」は、セキュリティの技術を競う競技大会「 CTF 」のひとつで、中学生・高校生向けのものです。普段 PC ゲームの解析で使っている「うさみみハリケーン」で、この「 picoCTF 2024 」を解いてみました。この解説の解き方には正攻法ではないものがありますので、「出題の意図に沿った正しい解き方が知りたい」方は、他の Writeup （ CTF の解き方の解説）も読まれることをお勧めします。 CTF では問題の答えのことを「フラグ」といいます。各問題の説明の最後にある文字列がフラグです。 筆者は「同人 PC ゲームの解析をする人」で、情報セキュリティ系の人ではないので、Linux ディストリビューションや Python の使用経験はありませんし、情報セキュリティに関連する勉強会やサークルなどの参加経験もありません。統合開発環境「 Visu

概要と注意事項 この当ソフトウェア『うさみみハリケーン』補助ツール(同梱HekisaNyan.exe)は、バイナリファイルの編集を行う、ヘキサエディタ（ヘキサデシマルエディタ・16進エディタ、日本での通称は「バイナリエディタ」）です。 「へきさにゃん」は、1999年に岩本一樹氏が公開したヘキサエディタ「Binary maid」（以下「オリジナル」）をベースにさせていただきました。「Binary maid」はかつてソースコードが公開されており、ソースコードの改変に制約はありません。さらに、K.Takata氏が2009年に公開した「Binary maid 改造版」のソースコードも取り込ませていただきました。併せて、1990年代の日本製ヘキサエディタの状況を知るために、ヘキサエディタ「BZ」バージョン0.95（1996年公開）のソースコードも参考にさせていただきました。なお、オリジナルおよび改造

この Writeup について 「 picoCTF 」は、セキュリティの技術を競う競技大会「 CTF 」のひとつで、中学生・高校生向けのものです。普段 PC ゲームの解析で使っている「うさみみハリケーン」で、この「 picoCTF 2023 」を解いてみました。この解説の解き方には正攻法ではないものがありますので、「出題の意図に沿った正しい解き方が知りたい」方は、他の Writeup （ CTF の解き方の解説）も読まれることをお勧めします。 CTF では問題の答えのことを「フラグ」といいます。各問題の説明の最後にある文字列がフラグです。 筆者は「同人 PC ゲームの解析をする人」で、情報セキュリティ系の人ではないので、Linux や Python の使用経験はありませんし、情報セキュリティに関連する勉強会やサークルなどの参加経験もありません。統合開発環境「 Visual Studio C

この Writeup について 「 picoCTF 」は、セキュリティの技術を競う競技大会「 CTF 」のひとつで、中学生・高校生向けのものです。普段 PC ゲームの解析で使っている「うさみみハリケーン」で、この「 picoCTF 2022 」を解いてみました。この解説の解き方には正攻法ではないものがありますので、「出題の意図に沿った正しい解き方が知りたい」方は、他の Writeup （ CTF の解き方の解説）も読まれることをお勧めします。 CTF では問題の答えのことを「フラグ」といいます。各問題の説明の最後にある文字列がフラグです。 筆者は「同人 PC ゲームの解析をする人」で、情報セキュリティ系の人ではないので、Linux や Python の使用経験はありませんし、情報セキュリティに関連する勉強会やサークルなどの参加経験もありません。統合開発環境「 Visual Studio C

●概要 当ソフトウェア「Portable Explorer」（PortableExplorer.exe）は、Windows OS付属のエクスプローラーの簡易版として製作した、『うさみみハリケーン』補助ツールです。当ソフトウェアを用いることで、管理者権限で実行されるエクスプローラーを実現可能です。これにより、Windowsのセキュリティ関連機能「ユーザーインターフェイス特権の分離（UIPI）」が原因で、ユーザー権限で実行されるエクスプローラーから管理者権限で実行されるアプリケーションへの、ファイルのドラッグ・アンド・ドロップが制限されるケースなど、エクスプローラーがユーザー権限で実行されることに起因する各種トラブルに対処できます。 なお、『うさみみハリケーン』の「実行ファイルを起動（新型32ビット版「UsaMimi32.exe」および64ビット版「UsaMimi64.exe」用）」機能で、当

簡易数値検索　目次 簡易数値検索の使い方・使用例 ●概要と注意点 ■解析初心者の方が検索に失敗する原因 ●参考スクリーンショット ●基本的な操作の流れ ●検索に失敗したときの対処方法 ●検索のヒント UsaTest2.EXEでのパラメータ検索・書き換え例 ●UsaTest2.EXEでの検索例 ■数値が明らかな場合の検索 ■数値が不明な場合の検索 ●UsaTest2.EXEでの数値・プログラムコード書き換え例 ■検索結果リスト右クリックからの操作 ■直接書き換え ▲ダンプ画面で書き換え ▲「選択アドレスへの直接書き込み・選択範囲の一括書き換え」ダイアログで書き換え ▲「10/16進数表形式入出力」ダイアログで書き換え ■固定化書き換え ■演算を実行して書き換え ■「構造体編集」ダイアログで書き換え ■改造コードを用いた書き換え ■デバッガ用改造コードで環境依存型変動アドレスを取得して書き換え

この Writeup について 「 picoCTF 」は、セキュリティの技術を競う競技大会「 CTF 」のひとつで、中学生・高校生向けのものです。普段 PC ゲームの解析で使っている「うさみみハリケーン」で、この「 picoCTF 2021 」を解いてみました。この解説の解き方には正攻法ではないものがありますので、「出題の意図に沿った正しい解き方が知りたい」方は、他の Writeup （ CTF の解き方の解説）も読まれることをお勧めします。 CTF では問題の答えのことを「フラグ」といいます。各問題の説明の最後にある文字列がフラグです。 筆者は「同人 PC ゲームの解析をする人」で、情報セキュリティ系の人ではないので、Linux や Python の使用経験はありませんし、情報セキュリティに関連する勉強会やサークルなどの参加経験もありません。統合開発環境「 Visual Studio C

●メイン画面（DLLインジェクションの挙動を解析中） ●コールスタックのスタックフレーム解析画面（イベント名「StackWalk/Stack」の項目を右クリックから表示） 当ソフトウェアは管理者権限での起動が必須です。 当ソフトウェアは起動後、イベント情報を取得可能になるまで数秒かかります。これは、Windowsのイベントトレース機能の仕様などが原因です。その後はリアルタイムでイベント情報を取得しますが、状況によっては、イベント発生からイベント情報を取得し表示可能になるまで数秒かかることもあります。 当ソフトウェアの処理は、システム上で生じた、プログラム解析に有用と見られる全てのイベントの情報を取得してから、フィルターで表示するイベントを絞り込むという流れになります。これにより、イベントの情報の取得に伴うメモリ使用量が尋常ではないので、システムに悪影響を与えないよう注意が必要です。この際、

この Writeup について 「 picoCTF 」は、セキュリティの技術を競う競技大会「 CTF 」のひとつで、中学生・高校生向けのものです。普段 PC ゲームの解析で使っている「うさみみハリケーン」で、この「 picoCTF 2019 」を解いてみました。この解説の解き方には正攻法ではないものがありますので、「出題の意図に沿った正しい解き方が知りたい」方は、他の Writeup （ CTF の解き方の解説）も読まれることをお勧めします。 CTF では問題の答えのことを「フラグ」といいます。各問題の説明の最後にある文字列がフラグです。 筆者は「同人 PC ゲームの解析をする人」で、情報セキュリティ系の人ではないので、CTF・Linux・Python の経験はありません。統合開発環境「 Visual Studio Community 」の「 Visual C++ 」で、「うさみみハリケー

バイナリファイルの解析　概要 この解説は、主にプログラム解析や情報セキュリティに興味のある方を対象として執筆しました。解説にはWindows用の各種解析ツールを使用し、別のOSであるLinuxの使用経験が無い方でも読み進めることができるようにしています。下記で紹介する主要な解析ツールや、解析関連資料については、当ソフトウェア『うさみみハリケーン』製作者のWebサイト｢Digital Travesia｣に入手先リンク集がありますので、アクセスされることをお勧めします。 「バイナリファイル」とは、簡単に言えば、2進数すなわち0と1で構成される「バイナリデータ」のかたまりです。2進数とその関連知識といえる、16進数、ビット、バイト、リトルエンディアン、ビッグエンディアンおよび文字コード等については、当ヘルプの「基礎用語解説」で解説していますので、参照されることをお勧めします。 バイナリファイルに

●概要 この『うさみみハリケーン』同梱の「NekoLaunch」(NekoLaunch.exe)は、あらかじめ指定したアプリケーションの実行や各種ファイル・フォルダのオープンなどを簡易化する、シンプルでコンパクトなボタン型ランチャーです。汎用ランチャーとして、「うさみみハリケーン」に関連する実行ファイルの起動等を簡易化するために製作しました。また、セキュリティの観点から、管理者権限で起動するアプリケーションの数を必要最小限に抑えるための、プログラム解析ツール専用ランチャーという用途も想定しています。各ボタンに設定した実行対象は、ボタンのクリックによる実行だけではなく、個別のボタンに設定したホットキーを使って実行や、ボタン群を指定して「NekoLaunch」起動・終了時に自動実行することもできます。さらに付属機能として、カーソル（マウスポインタ）直下にある文字列あるいはボタン等オブジェクトの

この Writeup について 普段ゲームの解析で使ってる「うさみみハリケーン」で、超初心者向け CTF にチャレンジしてみました。「CTF」 はセキュリティの技術を競う競技大会のことで、いろんなジャンルの問題を解きます。解き方が正攻法じゃないのもありますので、「出題の意図に沿った正しい解き方が知りたい」って人は、他の Writeup も読んでくださいね。 CTF では問題の答えのことを「フラグ」といいます。各問題の説明の最後にある文字列がフラグです。 CTF も Writeup 書くのも初めてなので、いろんな人に助言してもらいました。ありがたや。 PicoCTF 2018 の問題は2019年1月時点でまだ公開されてますけど、約半分の問題は削除されたそうです。あと、一部の問題はファイル入れ替えがあってフラグが微妙に変更されたそうです。 PicoCTF 2018 の問題はこちらから。 補足：

概要と参考資料 この解説では、当ソフトウェア『うさみみハリケーン』同梱の汎用ファイルアナライザ「青い空を見上げればいつもそこに白い猫」を用いた、各種ファームウェアのバイナリファイルから、ファームウェアの設定ファイルや実行ファイル等を抽出する方法を、実際の抽出例で説明しています。この抽出アプローチは、情報セキュリティにおける公益を目的として、ファームウェアの脆弱性やバックドアおよび隠し機能などを解析するためのものです。対象となるファームウェアは、WebカメラやWi-Fiルーターなど、IoT機器に該当する組み込み機器のものを想定しています。下記の抽出例では、ネット上で配布されているファームウェアを使用しました。 ファームウェア解析を含む、IoT機器の解析に当たっては、解説「IoTセキュリティ対策 診断・解析入門」が参考になります。また、SPI（Serial Peripheral Interfa

「うさみみハリケーン」は、必ず下の正規配布元(Vector)からダウンロードしてください。 https://www.vector.co.jp/soft/win95/prog/se375830.html Vector以外の配布元は無断転載で危険です。上のリンクで済むのにわざわざ無断転載して再配布するのは、たいてい「うさみみハリケーン」を改変して、ウイルス化させたものや、悪質なソフトにすりかえたものとかを実行させるのが狙いです。無断転載サイトは、もっともらしく見せるためにヘルプ文書を切り貼りして作ったレビューや、適当なブログからコピーした記事などを使うので、見た目で安全だと判断すると痛い目をみます。付属のヘルプ文書や公式オンラインヘルプに書いてある通り、現実にたくさんの被害者が出ています。 ・公式オンラインヘルプ(無断転載とウイルス被害者のこと) https://digitaltravesia

概要 下記「API関数呼び出し」の仕組みについては、当ヘルプの「基礎用語解説」内「逆アセンブルコードリスト」を参照願います。 この解説は、当ソフトウェア『うさみみハリケーン』同梱のPEダンパー兼PEエディタ 「UMPE」に実装した、「仲介DLL(Proxy DLL)ソースコード出力機能」の活用補助を主目的として執筆しました。仲介DLLとは、EXEファイルといった実行ファイルが、API関数など特定DLLが提供する関数を呼び出す処理を、変更や監視などができるようにするためのDLLです。これは「プロキシーDLL」や「ラッパーDLL」と表記されることもあります。一般的な使用例では、EXEファイルからシステムDLL提供のAPI関数を呼び出す処理を、EXEファイルから仲介DLLを経由して呼び出すように変更します。この際、仲介DLLでは任意の処理を追加した上で本来のAPI関数を呼び出します。このようなA

この解説について この解説は、当ソフトウェア『うさみみハリケーン』に付属する汎用ファイルアナライザ「青い空を見上げればいつもそこに白い猫」が実装している、「ステガノグラフィー解析機能」の活用補助を目的として執筆しました。同機能は、特に情報セキュリティにおける、コンピュータセキュリティ技術を競う競技であるCTF(Capture The Flag)での使用を想定しています。また、同機能は、画像ステガノグラフィーの解析ツール「Stegsolve」の互換機能をベースとして、色々な機能拡張を行い、さらに「青い空を見上げればいつもそこに白い猫」に実装された、「文字コード別の文字列抽出」、「バイナリデータの視覚化表示」、「ファイル・データ抽出」および「YARAルールでスキャン」など各種機能との連携を図る形で実装しました。 なお、上記ステガノグラフィー解析機能は、すでに画像ファイルへ埋め込まれた各種データ

ソフト詳細説明 ●特長 直感的に扱える操作性の高いユーザーインターフェイス プロセスの解析や操作に必要な機能を多数実装 マルウェア解析やデジタル・フォレンジックにも活用可能 ポータブルアプリケーション プラグイン対応 64bit版同梱 ヘルプでプログラム解析の基礎用語等を解説 作者が執筆した解析参考書有り ●主な機能 <プロセスメモリ関連> ダンプ画面を複数表示して作業可能(MDI) ダンプ表示と書き換えは各種データ形式/文字コードに対応 各種表示色/フォントサイズを変更可能 リアルタイム書き換えやコピー/ペースト等の各種編集機能 相対アドレス表示/マーク/ジャンプ/アンドゥ/リドゥに対応 ポインタ対応の各種改造コード実行機能 各種データ形式/文字コード対応の通常検索/変動検索/置換 YARAルールでスキャン 10進数入出力 特定アドレス格納値の時系列状況推移を表示 選択範囲バイナリデータ

●概要 「PEファイル」とは、EXEファイルやDLLファイルなど、WindowsOSにおいて一般的に使用される実行可能ファイルのフォーマットを指します。この『うさみみハリケーン』補助ツール『UMPE』(同梱UMPE.exeとUMPE64.exe)は、プロセス実行中にプロセスメモリ上からPEファイルをダンプしたり、既存のPEファイルのヘッダなどに格納された各種設定の参照や変更を行うことができます。PEファイル解析の補助機能として、バイナリエディタや逆アセンブラおよび「仲介DLL(Proxy DLL)ソースコード出力機能」などを実装しています。 また、マルウェアの解析やアンパックの補助にも使用可能であり、パッカーやコンパイラの判別を行う『PEiD』互換機能も実装しています。 32ビット版のうさみみハリケーンのメニューから起動するのは32ビット版のUMPE(UMPE.exe)です。同様に64ビッ