概要と注意事項 ■機能概要と動作環境 この当ソフトウェア『うさみみハリケーン』補助ツール(同梱NekoDisIL.exe)は、.NETアプリケーションの解析を行うツールです。.NETアプリケーションの実行ファイルへの、逆アセンブルや逆コンパイルおよびILコードの書き換えに対応しています。 「NekoDisIL」の動作環境は、.NET Framework 4.8がインストールされた64ビット環境です。Windows 10 バージョン1903以降ならば、.NET Framework 4.8がプレインストールされています。「NekoDisIL」では、Windows 10 バージョン1809で導入された等幅フォント「BIZ UDゴシック」を使用しているため、それより前のWindowsでは文字の表示が崩れます。 ■当解説で使用する用語の簡単な説明 「ILコード」とは、逆アセンブル結果として表示される

この Writeup について 「 picoCTF 」は、セキュリティの技術を競う競技大会「 CTF 」のひとつで、中学生・高校生向けのものです。普段 PC ゲームの解析で使っている「うさみみハリケーン」で、この「 picoCTF 2025 」を解いてみました。この解説の解き方には正攻法ではないものがありますので、「出題の意図に沿った正しい解き方が知りたい」方は、他の Writeup （ CTF の解き方の解説）も読まれることをお勧めします。 CTF では問題の答えのことを「フラグ」といいます。各問題の説明の最後にある文字列がフラグです。 筆者は「同人 PC ゲームの解析をする人」で、情報セキュリティ系の人ではないので、Linux ディストリビューションや Python の使用経験はありませんし、情報セキュリティに関連する勉強会やサークルなどの参加経験もありません。統合開発環境「 Visu

概要と注意事項 ■概要 この当ソフトウェア『うさみみハリケーン』補助ツール(同梱NekoBinDiff.exe)は、バイナリファイルの比較を行うツールです。2つのバイナリファイルを比較して差分解析を行い、変更・挿入・削除されたバイト（列）を表示します。 「NekoBinDiff」の動作環境は、.NET Framework 4.7.2 以上が(プレ)インストールされた64ビット環境です。Windows 10 バージョン1803以降ならば、.NET Framework 4.7.2 以上がプレインストールされています。 このソフトウェアは、オープンソースのフリーウェア「BinDiff」のソースコードをベースにして、機能追加を行ったものです。なお、ネット上で「BinDiff」という名称のソフトウェアが複数公開されていることから、ネット上で他の「BinDiff」を検索したい方々のノイズとならないよう

アクセスありがとうございます。このサイトがあなたのお役に立てば幸いです。 | Preamble | Tutorials | Tools | References | Books | Codes/Patchers | Questions/Suggestions | Links | Contact | お知らせ　Digital Travesia の digitaltravesia.jp への統合について Webサイト「Digital Travesia」は、諸般の事情により、digitaltravesia.jp のコンテンツに統合しました。 ドメイン「digitaltravesia.jp」は、『うさみみハリケーン』のオンラインヘルプ公開で協力いただいている方が所有しています。今般、同ドメイン所有者の方のご厚意により、Webサイトを統合することができました。 なお、旧Webサイト（https://

この Writeup について 「 picoCTF 」は、セキュリティの技術を競う競技大会「 CTF 」のひとつで、中学生・高校生向けのものです。普段 PC ゲームの解析で使っている「うさみみハリケーン」で、この「 picoCTF 2024 」を解いてみました。この解説の解き方には正攻法ではないものがありますので、「出題の意図に沿った正しい解き方が知りたい」方は、他の Writeup （ CTF の解き方の解説）も読まれることをお勧めします。 CTF では問題の答えのことを「フラグ」といいます。各問題の説明の最後にある文字列がフラグです。 筆者は「同人 PC ゲームの解析をする人」で、情報セキュリティ系の人ではないので、Linux ディストリビューションや Python の使用経験はありませんし、情報セキュリティに関連する勉強会やサークルなどの参加経験もありません。統合開発環境「 Visu

概要と注意事項 この当ソフトウェア『うさみみハリケーン』補助ツール(同梱HekisaNyan.exe)は、バイナリファイルの編集を行う、ヘキサエディタ（ヘキサデシマルエディタ・16進エディタ、日本での通称は「バイナリエディタ」）です。 「へきさにゃん」は、1999年に岩本一樹氏が公開したヘキサエディタ「Binary maid」（以下「オリジナル」）をベースにさせていただきました。「Binary maid」はかつてソースコードが公開されており、ソースコードの改変に制約はありません。さらに、K.Takata氏が2009年に公開した「Binary maid 改造版」のソースコードも取り込ませていただきました。併せて、1990年代の日本製ヘキサエディタの状況を知るために、ヘキサエディタ「BZ」バージョン0.95（1996年公開）のソースコードも参考にさせていただきました。なお、オリジナルおよび改造

この Writeup について 「 picoCTF 」は、セキュリティの技術を競う競技大会「 CTF 」のひとつで、中学生・高校生向けのものです。普段 PC ゲームの解析で使っている「うさみみハリケーン」で、この「 picoCTF 2023 」を解いてみました。この解説の解き方には正攻法ではないものがありますので、「出題の意図に沿った正しい解き方が知りたい」方は、他の Writeup （ CTF の解き方の解説）も読まれることをお勧めします。 CTF では問題の答えのことを「フラグ」といいます。各問題の説明の最後にある文字列がフラグです。 筆者は「同人 PC ゲームの解析をする人」で、情報セキュリティ系の人ではないので、Linux や Python の使用経験はありませんし、情報セキュリティに関連する勉強会やサークルなどの参加経験もありません。統合開発環境「 Visual Studio C

この Writeup について 「 picoCTF 」は、セキュリティの技術を競う競技大会「 CTF 」のひとつで、中学生・高校生向けのものです。普段 PC ゲームの解析で使っている「うさみみハリケーン」で、この「 picoCTF 2022 」を解いてみました。この解説の解き方には正攻法ではないものがありますので、「出題の意図に沿った正しい解き方が知りたい」方は、他の Writeup （ CTF の解き方の解説）も読まれることをお勧めします。 CTF では問題の答えのことを「フラグ」といいます。各問題の説明の最後にある文字列がフラグです。 筆者は「同人 PC ゲームの解析をする人」で、情報セキュリティ系の人ではないので、Linux や Python の使用経験はありませんし、情報セキュリティに関連する勉強会やサークルなどの参加経験もありません。統合開発環境「 Visual Studio C

●概要 当ソフトウェア「Portable Explorer」（PortableExplorer.exe）は、Windows OS付属のエクスプローラーの簡易版として製作した、『うさみみハリケーン』補助ツールです。当ソフトウェアを用いることで、管理者権限で実行されるエクスプローラーを実現可能です。これにより、Windowsのセキュリティ関連機能「ユーザーインターフェイス特権の分離（UIPI）」が原因で、ユーザー権限で実行されるエクスプローラーから管理者権限で実行されるアプリケーションへの、ファイルのドラッグ・アンド・ドロップが制限されるケースなど、エクスプローラーがユーザー権限で実行されることに起因する各種トラブルに対処できます。 なお、『うさみみハリケーン』の「実行ファイルを起動（新型32ビット版「UsaMimi32.exe」および64ビット版「UsaMimi64.exe」用）」機能で、当

簡易数値検索　目次 簡易数値検索の使い方・使用例 ●概要と注意点 ■解析初心者の方が検索に失敗する原因 ●参考スクリーンショット ●基本的な操作の流れ ●検索に失敗したときの対処方法 ●検索のヒント UsaTest2.EXEでのパラメータ検索・書き換え例 ●UsaTest2.EXEでの検索例 ■数値が明らかな場合の検索 ■数値が不明な場合の検索 ●UsaTest2.EXEでの数値・プログラムコード書き換え例 ■検索結果リスト右クリックからの操作 ■直接書き換え ▲ダンプ画面で書き換え ▲「選択アドレスへの直接書き込み・選択範囲の一括書き換え」ダイアログで書き換え ▲「10/16進数表形式入出力」ダイアログで書き換え ■固定化書き換え ■演算を実行して書き換え ■「構造体編集」ダイアログで書き換え ■改造コードを用いた書き換え ■デバッガ用改造コードで環境依存型変動アドレスを取得して書き換え

この Writeup について 「 picoCTF 」は、セキュリティの技術を競う競技大会「 CTF 」のひとつで、中学生・高校生向けのものです。普段 PC ゲームの解析で使っている「うさみみハリケーン」で、この「 picoCTF 2021 」を解いてみました。この解説の解き方には正攻法ではないものがありますので、「出題の意図に沿った正しい解き方が知りたい」方は、他の Writeup （ CTF の解き方の解説）も読まれることをお勧めします。 CTF では問題の答えのことを「フラグ」といいます。各問題の説明の最後にある文字列がフラグです。 筆者は「同人 PC ゲームの解析をする人」で、情報セキュリティ系の人ではないので、Linux や Python の使用経験はありませんし、情報セキュリティに関連する勉強会やサークルなどの参加経験もありません。統合開発環境「 Visual Studio C

●メイン画面（DLLインジェクションの挙動を解析中） ●コールスタックのスタックフレーム解析画面（イベント名「StackWalk/Stack」の項目を右クリックから表示） 当ソフトウェアは管理者権限での起動が必須です。 当ソフトウェアは起動後、イベント情報を取得可能になるまで数秒かかります。これは、Windowsのイベントトレース機能の仕様などが原因です。その後はリアルタイムでイベント情報を取得しますが、状況によっては、イベント発生からイベント情報を取得し表示可能になるまで数秒かかることもあります。 当ソフトウェアの処理は、システム上で生じた、プログラム解析に有用と見られる全てのイベントの情報を取得してから、フィルターで表示するイベントを絞り込むという流れになります。これにより、イベントの情報の取得に伴うメモリ使用量が尋常ではないので、システムに悪影響を与えないよう注意が必要です。この際、

この Writeup について 「 picoCTF 」は、セキュリティの技術を競う競技大会「 CTF 」のひとつで、中学生・高校生向けのものです。普段 PC ゲームの解析で使っている「うさみみハリケーン」で、この「 picoCTF 2019 」を解いてみました。この解説の解き方には正攻法ではないものがありますので、「出題の意図に沿った正しい解き方が知りたい」方は、他の Writeup （ CTF の解き方の解説）も読まれることをお勧めします。 CTF では問題の答えのことを「フラグ」といいます。各問題の説明の最後にある文字列がフラグです。 筆者は「同人 PC ゲームの解析をする人」で、情報セキュリティ系の人ではないので、CTF・Linux・Python の経験はありません。統合開発環境「 Visual Studio Community 」の「 Visual C++ 」で、「うさみみハリケー

バイナリファイルの解析　概要 この解説は、主にプログラム解析や情報セキュリティに興味のある方を対象として執筆しました。解説にはWindows用の各種解析ツールを使用し、別のOSであるLinuxの使用経験が無い方でも読み進めることができるようにしています。下記で紹介する主要な解析ツールや、解析関連資料については、当ソフトウェア『うさみみハリケーン』製作者のWebサイト｢Digital Travesia｣に入手先リンク集がありますので、アクセスされることをお勧めします。 「バイナリファイル」とは、簡単に言えば、2進数すなわち0と1で構成される「バイナリデータ」のかたまりです。2進数とその関連知識といえる、16進数、ビット、バイト、リトルエンディアン、ビッグエンディアンおよび文字コード等については、当ヘルプの「基礎用語解説」で解説していますので、参照されることをお勧めします。 バイナリファイルに

●概要 この『うさみみハリケーン』同梱の「NekoLaunch」(NekoLaunch.exe)は、あらかじめ指定したアプリケーションの実行や各種ファイル・フォルダのオープンなどを簡易化する、シンプルでコンパクトなボタン型ランチャーです。汎用ランチャーとして、「うさみみハリケーン」に関連する実行ファイルの起動等を簡易化するために製作しました。また、セキュリティの観点から、管理者権限で起動するアプリケーションの数を必要最小限に抑えるための、プログラム解析ツール専用ランチャーという用途も想定しています。各ボタンに設定した実行対象は、ボタンのクリックによる実行だけではなく、個別のボタンに設定したホットキーを使って実行や、ボタン群を指定して「NekoLaunch」起動・終了時に自動実行することもできます。さらに付属機能として、カーソル（マウスポインタ）直下にある文字列あるいはボタン等オブジェクトの

この Writeup について 普段ゲームの解析で使ってる「うさみみハリケーン」で、超初心者向け CTF にチャレンジしてみました。「CTF」 はセキュリティの技術を競う競技大会のことで、いろんなジャンルの問題を解きます。解き方が正攻法じゃないのもありますので、「出題の意図に沿った正しい解き方が知りたい」って人は、他の Writeup も読んでくださいね。 CTF では問題の答えのことを「フラグ」といいます。各問題の説明の最後にある文字列がフラグです。 CTF も Writeup 書くのも初めてなので、いろんな人に助言してもらいました。ありがたや。 PicoCTF 2018 の問題は2019年1月時点でまだ公開されてますけど、約半分の問題は削除されたそうです。あと、一部の問題はファイル入れ替えがあってフラグが微妙に変更されたそうです。 PicoCTF 2018 の問題はこちらから。 補足：

概要と参考資料 この解説では、当ソフトウェア『うさみみハリケーン』同梱の汎用ファイルアナライザ「青い空を見上げればいつもそこに白い猫」を用いた、各種ファームウェアのバイナリファイルから、ファームウェアの設定ファイルや実行ファイル等を抽出する方法を、実際の抽出例で説明しています。この抽出アプローチは、情報セキュリティにおける公益を目的として、ファームウェアの脆弱性やバックドアおよび隠し機能などを解析するためのものです。対象となるファームウェアは、WebカメラやWi-Fiルーターなど、IoT機器に該当する組み込み機器のものを想定しています。下記の抽出例では、ネット上で配布されているファームウェアを使用しました。 ファームウェア解析を含む、IoT機器の解析に当たっては、解説「IoTセキュリティ対策 診断・解析入門」が参考になります。また、SPI（Serial Peripheral Interfa

「うさみみハリケーン」は、必ず下の正規配布元(Vector)からダウンロードしてください。 https://www.vector.co.jp/soft/win95/prog/se375830.html Vector以外の配布元は無断転載で危険です。上のリンクで済むのにわざわざ無断転載して再配布するのは、たいてい「うさみみハリケーン」を改変して、ウイルス化させたものや、悪質なソフトにすりかえたものとかを実行させるのが狙いです。無断転載サイトは、もっともらしく見せるためにヘルプ文書を切り貼りして作ったレビューや、適当なブログからコピーした記事などを使うので、見た目で安全だと判断すると痛い目をみます。付属のヘルプ文書や公式オンラインヘルプに書いてある通り、現実にたくさんの被害者が出ています。 ・公式オンラインヘルプ(無断転載とウイルス被害者のこと) https://digitaltravesia

概要 下記「API関数呼び出し」の仕組みについては、当ヘルプの「基礎用語解説」内「逆アセンブルコードリスト」を参照願います。 この解説は、当ソフトウェア『うさみみハリケーン』同梱のPEダンパー兼PEエディタ 「UMPE」に実装した、「仲介DLL(Proxy DLL)ソースコード出力機能」の活用補助を主目的として執筆しました。仲介DLLとは、EXEファイルといった実行ファイルが、API関数など特定DLLが提供する関数を呼び出す処理を、変更や監視などができるようにするためのDLLです。これは「プロキシーDLL」や「ラッパーDLL」と表記されることもあります。一般的な使用例では、EXEファイルからシステムDLL提供のAPI関数を呼び出す処理を、EXEファイルから仲介DLLを経由して呼び出すように変更します。この際、仲介DLLでは任意の処理を追加した上で本来のAPI関数を呼び出します。このようなA