通常検索
メモリ検索設定
|
検索する数値データや文字列データ及び、検索条件の形式、検索方向、検索対象とするメモリエリアの種類を設定してから、[検索実行]ボタンで検索を実行します。 この検索では現在の選択アドレスを基点として検索を行います。解析対象プロセスの全メモリエリアをシームレスに検索することができますが、相当の時間がかかりますので、検索所要時間を重視する場合は簡易数値検索あるいは範囲検索を使用してください。 うさみみハリケーンの新型32ビット版(UsaMimi32.exe)および64ビット版(UsaMimi64.exe)は、柔軟な文字列・バイト列検索が可能な「YARAルールでスキャン」機能を実装していますので、必要に応じてこの検索機能と使い分けることをお勧めします。「UsaMimi64.exe」の「YARAルールでスキャン」機能では、実行中の全ての32ビットおよび64ビットプロセスを一括してスキャンすることも可能です。 数値データは入力方式により10進数や16進数で指定可能で、各数値データの検索サイズも指定できます。進数指定については、操作上の基本注意事項を参照してください。また、数値データは半角スペースで区切ることにより、複数の数値データが連結したバイナリデータを検索対象にすることも可能です。 整数や実数を検索する場合は、検索基点となる選択アドレスを、数値サイズに合わせてWord境界(アドレスが0x2の倍数)、DWord境界(アドレスが0x4の倍数)またはQWord境界(アドレスが0x8の倍数)に設定してください。アプリケーションは基本的に変数データをプロセスメモリ上のWord境界かDWord境界上に配置するため、検索の確実性が高まります。 なお、数値サイズに関わらず1バイトごとに比較するオプションもあります。 |
●画面説明 ●検索基点/検索方向(グループボックス) ■基点アドレス 検索を開始する基点アドレスです。 ■前を検索 基点アドレスからみて、アドレスの低い方向に向かって検索を行います。 ■次を検索 基点アドレスからみて、アドレスの高い方向に向かって検索を行います。 ●検索条件を入力(グループボックス) ■検索条件入力用エディットボックス 検索するデータを入力します。入力方法の詳細については「検索・書き込み・置換での特殊なデータ入力」を参照して下さい。 ●入力した検索条件の形式を指定(グループボックス) ■モード指定用ラジオボタン、オプション指定用チェックボックス 検索するデータの種類を指定します。指定方法の詳細については「検索・書き込み・置換での特殊なデータ入力」を参照して下さい。 ●検索オプション(グループボックス) ■整数/実数は基点アドレスから数値バイト数ごとに比較 このチェックを外すと、数値バイト数に関わらず1バイトごとに比較を行います。 ■検索アドレス上限を0x0FFFFFFFに設定 検索アドレスの上限を0x0FFFFFFFに設定して検索の効率化を図ります。本来、アプリケーションのEXEファイル本体が使用するメモリエリア(メインモジュール該当エリア)のアドレスはこの上限を超えることはまずありません。しかし、Windows Vista以降では、EXEファイルやDLLファイルといったモジュールがプロセスメモリ上に読み込まれるアドレスをランダム化する、セキュリティ上の脆弱性を緩和する機能ASLR(Address Space Layout Randomization)が実装されています。 ■該当アドレスが書き込み不可ならスキップ 検索対象がメモリ上に格納される変数の場合、アクセス属性が書き込み不可のメモリエリアは検索する必要がないため、この設定にチェックを入れて検索をスキップします。 ■文字列検索でアルファベット大文字・小文字を区別 文字列検索時に、検索条件で指定した文字列のアルファベット大文字・小文字を区別するかどうか設定します。 ●検索実行・入力チェック ■検索実行 指定された検索条件、検索条件の形式、検索方向及び検索対象メモリエリアを元に検索を実行します。 ■入力チェック 入力された検索条件と指定された形式に問題が無いかチェックを行います。チェックのみで検索は行いません。 |
選択範囲バイナリデータを検索対象に設定
| ダンプ表示ウィンドウでの選択範囲内のバイナリデータを、バイト列として検索条件に設定します。さらに、検索オプションの「検索アドレス上限を0x0FFFFFFFに設定」と「該当アドレスが書き込み不可ならスキップ」の設定をオフにします。 |
前の該当箇所を検索
| 指定済みの検索条件を元に、現在の選択アドレスからみて前の該当箇所を検索します。 |
次の該当箇所を検索
| 指定済みの検索条件を元に、現在の選択アドレスからみて後の該当箇所を検索します。 |