表示アドレス指定
表示アドレスを指定
|
ダンプ表示を行うメモリエリアのアドレスを指定します。16進数での直接指定及び、スペシャルねこまんま57号での指定アドレスを取り込んで指定や、メモリエリアマップあるいは画面右下に表示されるモジュールのセクションリストからアドレスを選択して指定することもできます。 メモリエリアマップ上では、PEB(Process Environment Block)あるいは、各スレッドのスタックやTEB(Thread Environment Block)が含まれるメモリエリア先頭アドレスに、その情報をスレッドID付きで併記しています。なお、新しいWindows OSでは、一つのメモリエリアにPEBとTEBの両方が含まれることも、複数のTEBが含まれることもあります。この場合はPEB・TEBそれぞれの先頭アドレスも併記し、TEBが複数含まれるならば一つのTEBの情報に「+」を付記します。PEBやTEBの詳細な情報は、メニューの[デバッグ]→[PEB/TEB表示]で参照可能です。 メモリエリアマップ上やモジュールのセクションリスト上では、ダブルクリックでアドレス入力と変更を一度に行います。 |
●画面説明 ■表示アドレス(エディットボックス) バイナリデータをダンプ表示するアドレスを16進数で入力します。 ■スペシャルねこまんま57号での指定アドレスを取得 スペシャルねこまんま57号のアドレス指定エディットボックスに入力されているアドレスを取得して、表示アドレス(エディットボックス)に転写します。 ■アドレス変更 表示アドレス(エディットボックス)に入力されたアドレスを表示アドレスに決定し、ダンプ表示ウィンドウの表示を更新します。 ■更新 メモリエリアマップ・モジュールリストを再取得して表示を更新します。 ■選択エリアをダンプ リスト上で選択されたメモリエリアをファイルにダンプします。 ■前のモジュール リスト上の選択位置からみて前のアドレスにある直近のモジュールで選択位置を変更します。 ■次のモジュール リスト上の選択位置からみて後のアドレスにある直近のモジュールで選択位置を変更します。 ■PEヘッダ/セクション情報を表示 選択したモジュールのPEヘッダ/セクション情報の、表示と非表示を切り替えます。ここで表示されるPEヘッダの情報は、実行ファイルのPEヘッダの格納値をそのまま表示しています。そのため、リロケーションによるImageBaseのアドレスの変動は反映されません。 ●ポップアップメニュー(モジュール先頭アドレスを選択して右クリック) ■モジュールがあるフォルダを開く 選択したモジュールの実行ファイルがあるフォルダをエクスプローラで開きます。 ■プロパティを表示 選択したモジュールの実行ファイルのプロパティを表示します。 ■Explorer用コンテキストメニューを表示 選択したモジュールの実行可能ファイルに対して、エクスプローラ上で右クリックした際に表示されるコンテキストメニューを表示します。本来エクスプローラ上で表示されるコンテキストメニューをそのまま表示させているため、メニュー項目によっては正常に動作しません。 ■モジュールをダンプ 選択したモジュールをプロセスメモリ上からダンプします。ダンプファイルはUsaMimi.exeと同じフォルダに「モジュール名.dumped」で作成されます。ダンプ時には「pe_unmapper.exe」を使って、作成されたファイルをPEファイルとして解析しやすいように内部構成の修正を行います。これはIAT再構築ではありません。ダンプ時にShiftキーを押し下げておくと、pe_unmapper.exe による修正をスキップします。 ■PeRdrで実行ファイルを逆アセンブル 選択したモジュールの実行ファイルをPeRdrを使用して逆アセンブルします。逆アセンブルコードリストはUsaMimi.exeと同じフォルダに「モジュール名_das.txt」で出力します。事前にPeRdr.exeをUsaMimi.exeと同じフォルダに導入しておいてください。PeRdrは必ずバージョン「0.0108 beta」以降のものを導入して下さい。 |
同上クリップボードからアドレスを取得
| クリップボード内の16進アドレス文字列を取得し、うさみみハリケーンの表示アドレスに指定してダンプ表示を更新します。ダンプ表示ウィンドウ上でLキーを押すことでも同じ処理を行います。 |
同上スペシャルねこまんま57号から取得
| スペシャルねこまんま57号のアドレス指定エディットボックスからアドレスを取り込んで、うさみみハリケーンの表示アドレスに指定してダンプ表示を更新します。 |
スペシャルねこまんま57号へアドレス転送
| うさみみハリケーンの選択アドレスを、スペシャルねこまんま57号のアドレス指定エディットボックスに書き込みます。 |
選択アドレスをポインタとみなして表示アドレス変更
| 選択アドレス以降の4バイトをポインタとみなし、その格納アドレスでダンプ表示ウィンドウでの表示アドレスを変更します。 多重ポインタが最終的に指すアドレスで、ダンプ表示ウィンドウでの表示アドレスを変更したい場合は、多重ポインタに対応した改造コードを「*402100>0100/00/0B00/0264-00+」というように、ゼロ加算の算術演算型改造コードにして実行すれば、ダンプ表示ウィンドウでの表示アドレス変更のみを行います。 また、同梱プラグインの「Address Calculator」を使用することでも、多重ポインタが最終的に指すアドレスで、ダンプ表示ウィンドウでの表示アドレスを変更可能です。このプラグインはメニューの[プラグイン]→[UHPAdrCalc.dll]で起動します。 |
選択アドレス格納値をRVAとみなして表示アドレス変更
|
選択アドレス以降の4バイトをRVAとみなし、その格納値に該当モジュール先頭アドレスを加算して、ダンプ表示ウィンドウでの表示アドレスを変更します。選択アドレスが、どのモジュールのモジュールエリア内にも該当しない場合はエラーとなります。 この機能は、特にPEヘッダが指し示す内容の確認に有用です。 |