その他メニュー
その他メニュー 目次
●スペシャルねこまんま57号を遠隔操作(32ビット版「UsaMimi.exe」用)●式入力演算/進数変換
●多倍長整数演算/進数変換
●PEダンパー/PEエディタ
●汎用ファイルアナライザ
●ヘキサエディタ
●バイナリファイル比較ツール
●簡易アセンブラ/逆アセンブラ
●プロセスモニター
●簡易エクスプローラー
●ボタン型ランチャー
●エラーコードを説明文に変換
●特殊フォルダを開く
●Kernel32.DLL/Ntdll.DLLモジュール書き替えによるAPIフックを解除
●SDT(Service Descriptor Table)書き替えによるAPIフックを解除
●物理メモリビューア
●緊急退避
スペシャルねこまんま57号を遠隔操作(32ビット版「UsaMimi.exe」用)
|
TCP/IPで接続された他のマシン上で、スペシャルねこまんま57号を遠隔操作します。この機能は、DirectX排他モード等のフルスクリーンかつ最前面のゲームを解析する際に有効です。フルスクリーンのアプリケーションの解析についての詳細は、
基礎用語 フルスクリーンを参照してください。 この機能を使用する前に、接続元マシンと接続先マシンでLANを構築しておいてください。 なお、ファイアーウォールソフト等のセキュリティソフトが、この遠隔操作を妨げることがあります。その場合は接続元マシンと接続先マシン間でのみ接続して、ネットを含め外部には接続しない状態にした上で、セキュリティソフトを終了させてからこの機能を使用してください。 まず、TCP/IPの設定を行います。 |
| ●画面説明 [接続タイプ:サーバー]  [接続タイプ:クライアント]  ■サーバー 解析対象アプリケーションを実行するマシン側で、接続タイプを指定する際はサーバーとして設定します。 ■クライアント 解析対象アプリケーションを実行するマシンへ接続する、もう一台のマシン側で接続タイプを指定する際はクライアントとして設定します。 ■ポート番号(8500,8888 etc) TCP/IPで接続するためのポート番号を設定します。通常は初期設定のポート番号で問題ありません。 ■接続先IPアドレスorマシン名 クライアント側(解析対象アプリケーションを実行するマシンへ接続する、もう一台のマシン側)で、接続対象のサーバーのマシンを特定する際に入力します。なるべくIPアドレスで指定してください。 ■このPCのIPアドレス サーバー(解析対象アプリケーションを実行するマシン)の情報を取得するための表示です。サーバー側で表示されたこの情報を元に、クライアント側で接続するためのIPアドレスを指定します。 ■このPCのマシン名 サーバー(解析対象アプリケーションを実行するマシン)の情報を取得するための表示です。サーバー側で表示されたこの情報を元に、クライアント側で接続するためのマシン名を指定します。 ■設定実行 設定された接続モードやポート番号及びIPアドレスで、TCP/IP接続の設定を実行します。 |
●操作の流れ
●各モードの解説 |
式入力演算/進数変換
| 式入力演算/進数変換ソフト「UMEC.exe」を起動します。 ●概要及び基本操作等 |
多倍長整数演算/進数変換
| 多倍長整数演算/進数変換ソフト「UMECappend.exe」を起動します。 ●概要及び基本操作等 |
PEダンパー/PEエディタ
| PEダンパー/PEエディタ「UMPE.exe」を起動します。 ●概要及び基本操作等 |
汎用ファイルアナライザ
| 汎用ファイルアナライザ「青い空を見上げればいつもそこに白い猫」(AoZoraSiroNeko.exe)を起動します。 ●概要及び基本操作等 |
ヘキサエディタ
| ヘキサエディタ「へきさにゃん」(HekisaNyan.exe)を起動します。 ●概要及び基本操作等 |
バイナリファイル比較ツール
| バイナリファイル比較ツール「NekoBinDiff」(NekoBinDiff.exe)を起動します。 ●概要及び基本操作等 |
簡易アセンブラ/逆アセンブラ
| 簡易アセンブラ/逆アセンブラ「ロケットねこみみ」(NekoAsm.exe)を起動します。 ●概要及び基本操作等 |
プロセスモニター
| プロセスモニター「猫原喜雨」(NekoharaKiu.exe)を起動します。 ●概要及び基本操作等 |
簡易エクスプローラー
| 簡易エクスプローラー「Portable Explorer」(PortableExplorer.exe)を起動します。 ●概要及び基本操作等 |
ボタン型ランチャー
| ボタン型ランチャー「NekoLaunch」(NekoLaunch.exe)を起動します。 ●概要及び基本操作等 |
エラーコードを説明文に変換
| Windowsで既定されているエラーコード(System Error
Code)の数値を、説明文に変換する画面を表示します。一般的に、このエラーコードは、GetLastError関数の戻り値として知られています。 この機能では、NTSTATUSの値を説明文に変換することもできます。NTSTATUSは、ネイティブAPI関数の戻り値に使われることが多いといえます。 操作の流れとしては、まずエラーコードの種類を「System Error Code」か「NTSTATUS」から選択します。さらに、必要に応じて各種オプションを有効にしてから、エラーコードの値を入力すれば、リアルタイムで説明文に変換されます。エラーコードの変換結果である説明文は、そのままクリップボードにコピーしたり、変換ログとしてまとめることができます。 |
特殊フォルダを開く
|
「マイドキュメント」や「アプリケーションデータ」などのWindows既定の特殊フォルダをオープンします。Windows95/98では、このオープン処理にはInternet
Explorer 5.0以上の導入が必要となります。 また、テンポラリフォルダや、当ソフトウェアのインストール先フォルダをオープンできるようにしています。 64ビット版Windows OSにおいては、システムフォルダや「Program Files」フォルダは、下記のように、64ビット版アプリケーション用と、「WOW64」や「x86」で示される32ビット版アプリケーション用の両方のフォルダがあることに注意してください。これらのフォルダ名(パス)はアプリケーションの処理において、Windows OSによって自動で変換されるため、アプリケーション側でフォルダ名を区別することはありません。 System32 ⇔ SysWOW64 Program Files ⇔ Program Files (x86) |
Kernel32.DLL/Ntdll.DLLモジュール書き替えによるAPIフックを解除
|
当ソフトウェアの仮想アドレス空間内でのKernel32.DLL・Ntdll.DLL書き替えによるAPIフックを解除します。この機能はWindows2000/XPでのみ使用可能です。この機能はプロセスメモリエディタやデバッガの動作を阻害する、ウイルス・rootkit・トロイ等を解析するケースを想定して実装しました。 起動時にこの機能を使用する場合は、メニューの「編集」→「オプション」→「その他の設定」タブで動作設定が可能です。この設定に併せ、この機能を提供するUsaSweep.dllのファイル名を変更しておくことをお奨めします。 この機能は処理状況をOutputDebugString関数で出力しますが、当ソフトウェアのデバッグ文字列出力を監視とは併用しないでください。当ソフトウェアがフリーズする可能性があります。 |
SDT(Service Descriptor Table)書き替えによるAPIフックを解除
| カーネルスペースでの Service Descriptor Table (SDT)
書き替えによるAPIフックの解除を試みます。この機能はWindows2000/XPでのみ使用可能です。この機能はプロセスメモリエディタやデバッガの動作を阻害する、ウイルス・rootkit・トロイ等を解析するケースを想定して実装しました。 起動時にこの機能を使用する場合は、メニューの「編集」→「オプション」→「その他の設定」タブで動作設定が可能です。この設定に併せ、この機能を提供するUsaSweep.dllのファイル名を変更しておくことをお奨めします。 この機能は処理状況をOutputDebugString関数で出力しますが、当ソフトウェアのデバッグ文字列出力を監視とは併用しないでください。当ソフトウェアがフリーズする可能性があります。 |
物理メモリビューア
|
物理メモリ上の指定範囲内にあるバイナリデータを表示します。起動時には、SDT(ServiceDescriptorTable)のアドレスを探索して表示します。物理メモリ内バイナリデータの書き替え機能は、誤操作時のシステムへの悪影響が多大なため、実装は見送りました。 この機能は、ネット上で配布されている、プロセス操作やプロセス情報取得用などの、カーネルドライバとの連携を想定して実装しました。 この機能は、Windows 2000/XPで使用可能です。 |
●画面説明 ■開始物理アドレス(エディットボックス) 表示するメモリエリアの先頭アドレスを指定します。 ■Adr+ 現在の開始物理アドレスに、表示サイズの指定値を加算して書き替えます。 ■表示サイズ(エディットボックス) 表示するメモリエリアのサイズを0x1000単位で指定します。指定値の0x1000未満の値は無視されます。指定値が大きくなると、未使用のメモリエリアが含まれバイナリデータの取得に失敗する可能性が高まります。 ■文字コード(コンボボックス) 表示するバイナリデータに対応する文字コードを指定します。 ■物理メモリ表示 指定された開始アドレスや表示サイズで物理メモリ上のバイナリデータを取得します。 ■出力内文字列検索(エディットボックス) 出力されたテキストの中で、検索するための文字列を指定します。 ■検索実行 指定された検索文字列で検索を実行します。 ■テキスト保存 出力されたテキストをファイルに保存します。 |