インストール・アンインストール
インストール・アンインストール 目次
●インストール●UsaMimi.exeとUsaMimi32.exeの違いについて
●Windows Vista以降での使用について
●インストール直後の設定変更例
●Windows 10以降でのフリーズ回避方法について
●バージョンアップ
●アンインストール
●同梱ファイルの個別説明
インストール
|
インストールは配布ファイル「UsaMimi_v***.zip」(*はバージョン番号)を解凍して、同梱ファイル全てを適当なフォルダに展開するだけです。同梱のヘルプ「UsaMimi.chm」をご覧になっている時点でインストールは完了しています。安全性確保のため、任意の名前で当ソフトウェア専用のフォルダを作成し、そこへインストールされることを強くお勧めします。 当ソフトウェア(の改変されたもの)を正規の配布元以外からダウンロードしてインストールした結果、ウイルスに感染したり、詐欺ソフトや広告ソフトを強制的にインストールされたといった被害にあう方が少なくありません。安全な正規の配布元や、上記ウイルス感染については、「著作権・配布・再配布」ページを参照してください。 セキュリティソフトの誤検出やPCゲームの商用プロテクトが原因で、当ソフトウェアのインストールや起動に失敗することがあります。特に多く報告されている、セキュリティソフトの誤作動が原因で生じる問題としては、以下が挙げられます。これらはたいてい警告の表示なしに行われます。また、セキュリティソフトのオンラインアップデートにより、ある日突然以下の問題が生じるようになることもあります。
このため、配布ファイルのダウンロードそして解凍から、UsaMimi.exeの実行までに不具合が生じたならば、自己の責任において、セキュリティソフトを一時的に停止させるか、設定変更を行ってみてください。たいていのセキュリティソフトの場合、まず当ソフトウェアのインストール用フォルダを作成し、そのフォルダを設定で「スキャン除外対象」に設定してから、そのフォルダへ配布ファイルのダウンロードと内容の解凍を行えば、誤検出を回避して当ソフトウェアをインストール・使用することが可能です。加えて、セキュリティソフトの設定として、一切の警告を行わないで実行ファイルを削除や移動、あるいは実行不能にする「ゲームモード」に設定していないか確認されることをお勧めします。また、問題の解決のために、セキュリティソフトの開発元あるいはアンチマルウェアエンジン提供元に対し、誤検出の報告を送信されることをお勧めします。 自己の所有物ではない、学校・企業・その他のPCなど、「ユーザーが管理者としてログインできないといった、制限のある特殊な実行環境」では、当ソフトウェアに動作上の制約や不具合が起こりえます。できる限り、管理者として使用可能なPCにインストールしてください。 Windows Vista以降でのインストール先フォルダは、各種設定保存に使用するINIファイルがVista以降のファイル仮想化機能の影響を受けないように、既定の「Program Files」フォルダ内とは別の場所に新規作成することをお奨めします。これにより、従来どおり関連ファイル一式がインストール先フォルダ内のみに集約され、関連ファイルが他のフォルダに分散することを回避できます。また、「Program Files」フォルダ内で既知のDLLを検索し、悪意のあるコードを含む同名DLLにすりかえるようなマルウェアへの予防策ともなりえます。 なお、Windows9x/Meでは、インストールするフォルダのパスが極端に長い場合に、当ソフトウェアの一部の機能が使用できなくなる可能性があります。また、Windowsが提供する、アプリケーションの実行オプションである旧OS互換モードは、本来不要である当ソフトウェアに適用すると誤作動を招きますので、当ソフトウェアおよび『スペシャルねこまんま57号』には使用しないでください。 当ソフトウェアの一部の機能は、下記のソフトウェアを使用します。当ソフトウェアのインストール時に、下記のソフトウェアも同時に当ソフトウェアと同じフォルダにインストールされることをお奨めします。当ソフトウェアの作者のサイトから、下記のソフトウェアの入手先にリンクしています。なお、『スペシャルねこまんま57号』はDEP(データ実行防止)の適用対象に設定すると起動できませんので、Windows Vista以降での導入時にはご注意願います。また、当ソフトウェアでは、スペシャルねこまんま57号を非対応OS(Windows Vista以降)で使用する際の不具合を解消する、補助ツール(Neko57Helper.exe)を同梱していますので、使用されることをお勧めします。
また、 多機能で高性能な汎用デバッガ『OllyDbg』を導入して当ソフトウェアと併用されることをお奨めします。『OllyDbg』の本体の入手先に対して、当ソフトウェア作者サイトからリンクしています。さらに、当ソフトウェア作者サイトでは、『OllyDbg』日本語化パッチを配布しています。『OllyDbg』日本語化の際には、パッチ実行だけでは日本語化が完了せず文字化けが生じますので、パッチ同梱の説明書を参照して日本語化を完了してください。当ソフトウェアのデバッガの「WriteProcessMemory関数実行をトレース」機能を使用すれば、『OllyDbg』で行ったプロセスメモリ書き換え操作の内容を、当ソフトウェア用の改造コードに変換して出力可能です。 『スペシャルねこまんま57号』はシステムへの負荷を極力抑えて動作するよう設計されており、解析対象アプリケーションのバグによりデスクトップ・アプリケーション・ヒープが不足して『OllyDbg』や当ソフトウェア等の一般的な解析ツールが動作不能になるような状況でも、解析を行うことが可能です。状況に応じて当ソフトウェアと『スペシャルねこまんま57号』を使い分けてください。 プロセスリスト上で当ソフトウェアを検出して、当ソフトウェアのプロセスメモリエディタやデバッガの機能を阻害するウイルス等に対処するため、当ソフトウェアの実行ファイル名「UsaMimi.exe」と「UsaMimi32.exe」および「UsaMimi64.exe」を、ランダムな文字列を用いた別のファイル名に変更しておくことをお奨めします。 |
UsaMimi.exeとUsaMimi32.exeの違いについて
| 32ビット版の実行ファイルである、UsaMimi.exeとUsaMimi32.exeには、新しいWindows
OSへの対応度や機能面で違いがあります。 旧来の32ビット版「UsaMimi.exe」は、Windows95/98など古いWindows OSへの対応を維持していることから、Windows10/11など新しいWindows OSへの対応が困難になりつつあります。そのため、Windows7/8/10/11では新型32ビット版である「UsaMimi32.exe」を使用してください。 すでに「UsaMimi32.exeには実装できるがUsaMimi.exeには実装できない機能」も増えつつあり、たとえば以下の機能はUsaMimi32.exeに実装していますが、技術的な要因によりUsaMimi.exeには実装していません。 「簡易数値検索」機能 「YARAルールでスキャン」機能 (新型の)「実行ファイルを起動」機能 「VEHデバッガ」 「構造体編集」機能 「.NET Frameworkのマネージドコードを注入して実行」機能 「Antimalware Scan Interface (AMSI)でメモリ領域やモジュールをスキャン」機能 一部のプロセス関連情報取得機能 また、上記以外にも、UsaMimi32.exeでは多くの機能で改良が加えられています。 UsaMimi.exeとUsaMimi32.exeの詳細については、個別ファイルの解説を参照願います。 |
Windows Vista以降での使用について
|
管理者ではなく標準ユーザーとして当ソフトウェアを起動した場合は、Windowsのセキュリティの仕様により以下のような制限が発生します。さらに、標準ユーザーとして実行された当ソフトウェアが行う、管理者権限で実行されているプロセスへの各種操作に対してはより多くの制限が加えられます。 ・プロセスリストで一部のプロセスが表示不可 ・プロセスの各種情報表示で一部のスレッド・ハンドル関連情報が取得不可 ・プロセスの各種情報表示での特権の有効無効が切り替え不可 ・プロセスの実行優先度変更で最上位の優先度「リアルタイム」への変更不可 標準ユーザーの権限で当ソフトウェアを実行した場合でも、プロセスメモリ読み書きなど基本機能は問題なく使用可能です。しかし、当ソフトウェアの安定動作や機能への制限回避のため、管理者として当ソフトウェアを実行されることを強くお奨めします。Windows Vista以降では、管理者の権限で当ソフトウェアを実行するためには以下の方法を使用します。
なお、管理者として当ソフトウェアを実行しても、Windowsのセキュリティ保護の仕様により、特にシステム関連のプロセスに対する各種プロセス操作は制限されることもあります。Windows 8以降では、「AppContainer」と呼ばれるセキュリティ機能により、Windowsストアアプリといった一部のアプリケーションは、隔離された特殊な環境で実行されます。このため、AppContainerが適用されたプロセスに対しては、当ソフトウェアの一部の機能が使用不能になります。当ソフトウェアでは、AppContainerが原因で不具合が生じる機能の開始時には、そのことを警告します。 実際の使用においては、実行ファイル本体の設定はそのまま、別途作成したショートカットの設定では管理者の権限で当ソフトウェアを起動できるようにして、標準ユーザーと管理者の両方の権限で起動可能にしておくやり方が考えられます。これにより、まず標準ユーザーとして当ソフトウェアを実行し、権限が原因である不具合が発生したら、今度は管理者の権限で実行させるという使い方が可能になります。ただし、当ソフトウェアを含む多くのプログラム解析ツールは、管理者権限での実行を想定しているため、上記のランチャーをタスクスケジューラに登録する手法がより有用といえます。上記のボタン型ランチャー「NekoLaunch」では、実行ファイルの登録時に起動する権限として管理者権限またはユーザー権限を指定したり、登録した実行ファイルのボタンを右クリックから、起動する権限を管理者権限とユーザー権限のどちらか選択して起動することも可能です。 |
インストール直後の設定変更例
| ●PCの画面サイズに応じた設定変更 インストール後、適当なプロセスを選択・オープンしてから、メニューの[編集]→[オプション]、あるいはF10キー押し下げでオプション設定画面を表示します。 次に、実行環境PCの画面サイズにあわせて、表示するフォントサイズを変更したり、水平スクロールバーの設定を「使用しない」に設定し、[設定保存]ボタンを押し下げます。[OK]ボタンでオプションの画面を閉じてから、プロセスメモリの内容を表示しているダンプ画面の右下隅をドラッグしてダンプ画面のサイズを調節します。ダンプ画面のサイズと位置は当ソフトウェア終了時に自動保存されます。 ●PCスペックに応じた検索設定変更(32ビット版のUsaMimi.exe用) 実行環境のPCスペックが高いのであれば、メニューの[検索]→[メモリ範囲を指定して検索(64Bit Mode)]の画面を表示してから、画面上部にある[検索範囲を最大化]チェックボックスを使って、通常検索と変動検索の2箇所で「範囲」に設定されている値を初期値から「7FFE0000」に変更して一時的に検索範囲を拡げ、[全設定保存]ボタンを押し下げます。これにより広範囲を一度に検索可能になります。ただし、検索に要する時間が増加する上、検索該当件数が増加して絞り込みの手間も増えることになります。そのため、ユーザーの方々には、範囲は初期値のままにしておき、検索がうまくいかなかったときにだけ一時的に範囲を拡げて検索するという方も多いようです。上記[検索範囲を最大化]チェックボックスでの検索範囲変更は、変更結果を保存しない一時的なものですので、必要に応じてこのチェックボックスを活用されることをお勧めします。 ●PCのスケーリングに応じた設定変更 高解像度の市販PCによっては、Windowsの設定として、文字列表示サイズに関連するスケーリング(拡大表示)の値があらかじめ標準の100%よりも高い数値に設定されており、特にダイアログ上での文字列表示において、文字のはみ出しやぼやけといった問題が生じます。当ソフトウェア同梱の一部の実行ファイルは、古いWindows OSへの対応などの理由で古いコンパイラを使用しており、上記の問題が生じます(UsaMimi.exe、UMEC.exe、NekoAsm.exe、ResStrView_DotNET40.exe 、ResStrView_DotNET35.exe、UsaTest2Win.exe、UsaTest2.EXE)。このスケーリングを無効にするためには、エクスプローラ上で対象EXEファイルの右クリックから、[プロパティ]→[互換性]タブで[高DPI設定では画面のスケーリングを無効にする]にチェックを入れます。また、Windows 10のCreators Update(ビルド15063)以降ならば、上記[互換性]タブで[高DPI設定の変更]ボタン押し下げ後、[高いDPIスケールの動作を上書きします。拡大縮小の実行元:]をチェックしてから[システム (拡張)]の選択により、適切な文字列拡大とぼやけ改善が可能です。 なお、UsaMimi32.exe、UsaMimi64.exe、AoZoraSiroNeko.exe、UMPE.exeおよびUMPE64.exeは、スケーリングの設定値が高い場合、 使用する等幅フォントが比較的小さく表示されることがあります。そのため、UsaMimi32.exeやUsaMimi64.exeではメニューの[編集]→[オプション]で等幅フォントのサイズを変更できるようにしています。また、AoZoraSiroNeko.exeでは、終了時に自動生成または更新される設定ファイル「AoZoraSiroNeko.ini」に以下の項目を追記することで、次回起動時から等幅フォントのサイズを変更可能です。このフォントサイズは16が標準で、10から28の数値を指定可能です。 FontSize=19 UMPE.exeとUMPE64.exeでは、起動時に読み込む設定ファイル「UMPE.ini」と「UMPE64.ini」のテキストファイルを作成し、以下の内容を貼り付けてインストールフォルダ内に保存することで、等幅フォントのサイズを変更可能です。このフォントサイズは14が標準で、10から28の数値を指定可能です。 [Setting] FontSize=16 |
Windows 10以降でのフリーズ回避方法について
| 『うさみみハリケーン』および、複数の市販ソフトウェアやオンラインソフトに関して、Windows 10上でのMicrosoft
IMEが原因とみられる障害発生が報告されています。具体的な事例として特に致命的なのが、「テキスト入力欄に何らかの文字を入力しようとするとフリーズする」という現象です。 このフリーズする現象の回避方法としては、Windowsの設定(Microsoft IME設定の「全般」にある「互換性」欄)からMicrosoft IMEを以前のバージョンに戻すことが挙げられます。 この現象は、再現性が低いものの『うさみみハリケーン』でも発生するとのフィードバックをいただきましたので、『うさみみハリケーン』では、Microsoft IMEの影響を受ける箇所の処理方法変更によるフリーズ回避策を施しています。ただし、Microsoft IME側に原因がある以上、これは根本的な解決策ではなく、今後のMicrosoft IMEの仕様変更でフリーズが再発する可能性があります。 |
バージョンアップ
| バージョンアップ時には、新バージョンの配布ファイルの同梱ファイル全てをインストールフォルダに解凍(展開)して、新バージョンでのファイル追加・ファイル更新を行って下さい。各種設定の保存に用いるINIファイルやXMLファイルをそのまま残せば、既存の設定内容は引き継がれます。 ただし、実行環境がWindows 7からWindows 10に移行といった、実行環境に大きな変化があった場合は、既存の設定内容が不適切になるケースもあります。そのため、実行環境が大きく変化したならば、バージョンアップよりも、最新版の新規インストールをお勧めします。 当ソフトウェアでは、全ての機能で過去のバージョンと互換性を保つように設計しています。そのため、あえて古いバージョンを使い続ける必要はありません。機能追加はもちろん、既存機能の改良も積極的に行っていますので、新しいバージョンへのバージョンアップを強くお勧めします。 |
アンインストール
| アンインストールは、インストールしたフォルダ内の全てのファイルを削除すれば完了です。
当ソフトウェア(UsaMimi.exeとUsaMimi32.exeとUsaMimi64.exe)及び同梱UMPE.exe、UMPE64.exe、AoZoraSiroNeko.exe、HekisaNyan.exe、NekoBinDiff.exe、NekoLaunch.exe、UMEC.exe、UMECappend.exe、NekoAsm.exe、NekoAsm64.exe、NekoharaKiu.exe、PortableExplorer.exe、UsaTest2.EXE、UsaTest2Win.exe、UsaTest2_x64.exe、UMPEhelper.exe、Neko57Helper.exe、ResStrView_DotNET35.exe、ResStrView_DotNET40.exe、pe_unmapper.exe、同梱プラグインは実行ファイルを含むフォルダやプラグインフォルダとは異なるフォルダに設定ファイル等を作成したり、レジストリに何らかの情報を書き込むことはありません。また、当ソフトウェアはカーネルドライバは使用していません。なお、Windows
Vista以降では、上記「インストール」で解説している通り、既定の「Program
Files」フォルダ内へインストールした場合は、OSの仕様により別のフォルダにファイルが作成されるケースがあります。 (注)下記PEiDLL.DLLは過去のバージョンで同梱・使用していたものです。現バージョンでは不要であり削除可能です。 例外として、UMPE.exeが使用可能な外部DLLであるPEiDLL.DLLは、PEiDと同様に以下のレジストリ項目を使用します。 [HKEY_CURRENT_USER\Software\PDLL] なお、第三者が製作した当ソフトウェア用のプラグインが、レジストリを使用したり、インストールフォルダ以外に何らかのファイルを作成することもありえます。 |
UsaMimi.exe
|
UsaMimi.exeは「うさみみハリケーン」の本体で、「UH」のアイコンでも識別可能です。Windowsの標準設定によってはエクスプローラ上で拡張子「exe」が表示されないため、「UsaMimi」と表示されることもあります。 現在では、32ビット版「うさみみハリケーン」での、Windows7/8/10/11対応と動作確認および新機能の実装は、このUsaMimi.exeではなく、新型32ビット版であるUsaMimi32.exeで行っています。UsaMimi.exeの不具合報告への対応はなるべく行いますが、Windows10/11など新しいWindows OS上で生じる不具合には対応に限界があるため、Windows7/8/10/11では新型32ビット版のUsaMimi32.exeを使ってください。 実行環境が64ビット版のWindows OSであっても、32ビットのプロセス(Windowsでの実行単位)を解析する際には、32ビット版のUsaMimi32.exeを起動して解析対象プロセスを選択します。なお、実行環境が64ビット版のWindowsXP/Vistaで、32ビットのプロセスの解析を行うならば、古いWindows OSに対応した32ビット版のUsaMimi.exeを使用します。 この32ビット版のUsaMimi.exeは、64ビット版のWindows OS上でも使用可能ですが、その場合、解析対象は32ビットアプリケーションのプロセスのみとなります。64ビットアプリケーションのプロセスの解析には、同梱している64ビット版のUsaMimi64.exeを使用してください。 |
UsaMimi32.exe
|
UsaMimi32.exeは、既存の32ビット版UsaMimi.exeを模して一から製作した、新型32ビット版です。実際には、すでに開発を進めていた下記64ビット版UsaMimi64.exeを32ビット化したものになります。そのため、ほとんどの仕様は下記64ビット版と同じです。 UsaMimi32.exeは、UsaMimi.exeと比較して特に以下の点が異なります。 ・動作環境はWindows 7以降のWindows OS ・Windows 10/11といった新しいWindows OSに最適化 ・高DPI対応 ・Unicodeベース ・操作性や視認性を高めたユーザーインターフェイス ・ダンプ画面やダイアログで使用する等幅フォントに「BIZ UDゴシック」を適用可能 ・32ビットプロセスの有効アドレス終端が64ビットWindows上でFFFEFFFFとなるケースに対応 ・プロセスメモリのアクセス属性が読み取り専用であっても直接書き込み可能(下記64ビット版と同じ仕様) ・「簡易数値検索」機能を実装 ・「YARAルールでスキャン」機能を実装 ・全く新しい「プロセスの実行速度調整」機能 ・全く新しい「実行ファイルを起動」機能 ・「VEHデバッガ」を実装 ・「構造体編集」機能を実装 ・「.NET Frameworkのマネージドコードを注入して実行」機能を実装 ・「Antimalware Scan Interface (AMSI)でメモリ領域やモジュールをスキャン」機能を実装 ・逆アセンブル機能の内部処理を一新 ・メモリエリアのアクセス属性変更機能をメモリエリア確保機能と統合(メニュー「デバッグ」→「メモリ領域の確保とアクセス属性変更」) ・より詳細なプロセス関連情報の取得が可能 ・ダンプ画面の縦スクロールバーの操作性を向上(下記64ビット版と同じ仕様) ・プラグイン自作を想定し改造コードの対応書式を変更(下記64ビット版と同じ仕様) ・メニュー項目名「ファイル」を「プロセス」に変更 ・その他各種機能の改良および安全性の向上 実行環境がWindows 7以降で32ビットのプロセス(Windowsでの実行単位)を解析するならば、このUsaMimi32.exeの使用をお勧めします。なお、旧来のUsaMimi.exeは、Windows XPやWindows 98といった古いWindows OSがインストールされたPC実機または仮想PCで、同OS用の産業関連ソフトウェアのプロセス操作や、旧作PCゲームの解析などに使われることがあります。そのため、将来においてもUsaMimi32.exeがUsaMimi.exeに置き換わることはありません。 UsaMimi32.exeは、64ビット版のWindows OS上でも使用可能ですが、解析対象は32ビットアプリケーションのプロセスに限定されます。64ビットアプリケーションのプロセスの解析には、64ビット版の下記UsaMimi64.exeを使用してください。 |
UsaMimi64.exe
|
UsaMimi64.exeは、「うさみみハリケーン」の64ビット版です。「UH」のアイコンでも識別可能です。Windowsの標準設定によってはエクスプローラ上で拡張子「exe」が表示されないため、「UsaMimi64」と表示されることもあります。64ビットのプロセス(Windowsでの実行単位)を解析する際には、このUsaMimi64.exeを起動して解析対象プロセスを選択します。64ビット版のWindows
OS上で、32ビットのプロセスを解析するならばUsaMimi32.exe(64ビット版のWindowsXP/Vista上ではUsaMimi.exe)を起動し、このUsaMimi64.exeを起動する必要はありません。 UsaMimi64.exeは、32ビット版のUsaMimi.exeやUsaMimi32.exeでは対応できない、64ビットアプリケーションの解析や開発に使用します。 動作環境はWindows 7以降の64ビット版Windows OSです。32ビット版のWindows OS上では実行できません。Windows 7が快適に動作するスペックのPC上での使用を想定しています。なお、開発環境では、ディスプレイの設定を1920x1080、96DPIとしてユーザーインターフェイスの表示確認を行っています。 この64ビット版は32ビット版UsaMimi.exeのソースコードをそのまま64ビット化しているのではなく、UsaMimi.exeを模して一から製作している、全く新しいソフトウェアです。そのため、UsaMimi.exeで正常動作している機能でも、64ビット版では不具合が生じる可能性があること、十分にご注意願います。 公開にあたり必ず対応OS上で動作確認を行っていますが、もし、動作上の不具合がありましたら、実行環境情報と不具合再現手順をお知らせいただければ幸いです。実行環境情報は、メニューの[ヘルプ]→[バージョン情報]で取得とコピーができるようにしています。 ユーザーインターフェイスや操作は、基本的には32ビット版UsaMimi.exeと同様です。64ビット化に伴い、ユーザーインターフェイスを改良した機能もありますが、32ビット版UsaMimi.exeのヘルプを参考にすれば操作可能になるよう設計しています。 ただし、32ビット版UsaMimi.exeとまったく異なる点として、ダンプ表示ウィンドウでのスクロールバーは、スクロールボックスのドラッグ時には下記の動作をするようにしています。これはOS上の制約に加え、スクロールバーにプロセスの有効アドレス全体を割り当てることが、正確な操作という点で現実的ではないためです。 ・スクロールバー中心にあるスクロールボックスを上下半分以内へドラッグ:ダンプ表示アドレスを0x1000戻す/進める ・スクロールバー中心にあるスクロールボックスをクリック:0x1000進める(ドラッグ扱いとなる) ・スクロールバー中心にあるスクロールボックスを上下半分以上へドラッグ:前/後のコミットエリアへ移動 また、アドレスの指定は、視認性向上のため「0001'40000000」というように、入力したアドレス文字列が半角「'」を含んでいても読み取れるようにしています。なお、現在一般的に使用されている、64ビットの Windows OSやCPUの仕様上、ユーザーモードのアプリケーションの有効アドレスは6バイト相当で表示可能ですが、将来的にこの仕様が変更された場合は速やかに対応します。 加えて、プロセスメモリの各種書き換え機能は、該当メモリエリアのアクセス属性が読み取り専用であっても、そのまま書き込めるようにしています。32ビット版UsaMimi.exeのようなアクセス属性の変更は不要です。この設定は、メニューの[編集]→[強制書き込みモード]で有効・無効を切り替え可能です。 改造コード実行機能では、基本的な改造コードとそのポインタ型の書式への対応にとどめました。これは、複雑なプロセスメモリ操作ならば、改造コード使用ではなくプラグインを自作した方がより簡単で高度な操作が可能になること、そして、プラグインの自作に使用可能な「Visual Studio Community」など無償で高機能なコンパイラが配布されているという理由によります。プラグインの自作経験は、独自のプログラム解析ツールの製作にも役立ちますので、一度は経験されてみることを強くお勧めします。 動作の制約事項として、ダンプ表示ウィンドウの分割表示はできないようにしました。これは、ダンプ表示ウィンドウの分割表示後に、複数の特定操作の組み合わせを行うと動作不具合が生じるためです。この問題はコンパイラの特性が原因で生じており、ソースコード修正による対処は困難です。この不具合が生じるのはWindows 8以降の実行環境上であり、Windows 7では問題なく動作します。しかしながら、ダンプ表示ウィンドウの分割表示は、複数の新規ダンプ表示ウィンドウを表示して「並べて表示」で代替操作が可能なため、分割表示自体を使用不可にしました。 なお、ダイアログ等のユーザーインターフェイスでは、40歳以上のリバースエンジニアの方々からの要望により、「老眼」や「かすみ目」に配慮して文字サイズ等をやや大きめに設定しています。さらに、ダイアログ用の等幅フォントのサイズは、メニューの[編集]→[オプション]から変更可能です。 この64ビット版は、Windows7以降を動作環境として、32ビット版UsaMimi.exeとは異なる新しいコンパイラで製作しています。そのため、64ビット版で実装した機能が、必ずしも32ビット版UsaMimi.exeにも実装可能とは限りません。 この64ビット版では、32ビット版UsaMimi.exeで誤操作や誤認識を招くことが多かった機能や、64ビット環境での必要性が乏しい機能は、実装を見送っています。 |
UMEC.exe/UMECappend.exe
|
同梱のUMEC.exeは式入力型の演算ソフトで、進数変換機能も実装しています。このソフトウェアは、当ソフトウェアのメニューから呼び出すことが可能です(メニューの「その他」→「式入力演算/進数変換」)。 UMECappend.exeは、UMEC.exeの追加ソフトで、64ビット整数や128ビット整数および数十万桁といった巨大な整数(多倍長整数)での、四則演算と論理演算と進数変換に対応しています。加えて、Base64やROT13のデコード機能も実装しています。UMECappend.exeは、.NET Framework 4.5 以上が(プレ)インストールされた環境で実行可能です。これは、.NET Framework 4.0 や 4.5 で実装された機能を使用しているためです。なお、Windows 8(無印)以降ならば、.NET Framework 4.5 以上がプレインストールされています。実際の動作環境はWindows 7以降です。このソフトウェアは、当ソフトウェアのメニューから呼び出すことが可能です(メニューの「その他」→「多倍長整数演算/進数変換」)。 UMEC.exeの概要及び基本操作等 UMECappend.exeの概要及び基本操作等 |
UMPE.exe/UMPE64.exe
|
同梱のUMPE.exeはPEファイルのダンプや編集を行うソフトです。PEiD互換機能や、バイナリエディタなど、特にマルウェアの解析やアンパックに役立つ機能を実装しています。このソフトウェアは、当ソフトウェアのメニューから呼び出すことが可能です(メニューの「その他」→「PEダンパー/PEエディタ」)。 同梱のUMPE64.exeはUMPE.exeの64ビット版です。32ビット版のUMPE.exeが対応していない、64ビット版のプロセスや実行ファイルを解析することができます。 このソフトウェアはWindows9x/Meでは使用できません。また、UMPE64.exeはWindows7以降の64ビット版Windows OSが動作環境です。 UMPE.exeの概要及び基本操作等 |
AoZoraSiroNeko.exe/ssdeep.dll/libyara32.dll/libyara64.dll/yara_rule_file.txt/msvcr100.dll
|
同梱のAoZoraSiroNeko.exeは各種ファイルの種別を判定する汎用ファイルアナライザです。また、プログラム解析に付随する各種ファイル解析に役立つ、下記の機能を実装しています。このソフトウェアは、当ソフトウェアのメニューから呼び出すことが可能です(メニューの「その他」→「汎用ファイルアナライザ」)。 ・「TrID」互換のファイル種別判別機能 ・バイナリデータの視覚化表示機能 ・バイナリエディタ ・バイナリファイルからの文字コード別の文字列抽出機能 ・x86/x64逆アセンブラ ・各種ハッシュ生成機能 ・YARAルールでスキャン機能 ・ステガノグラフィー解析機能 ・各種ファイル・データ抽出機能 ssdeep.dllは、この汎用ファイルアナライザがssdeepの生成に使用します。ssdeepについては下記リンク先を参照してください。 libyara32.dllとyara_rule_file.txtは、この汎用ファイルアナライザとうさみみハリケーン本体の新型32ビット版(UsaMimi32.exe)が実装する、YARAルールを用いたスキャン機能で使用します。YARAとYARAルールの概要は、解説「YARAについて」を参照して下さい。同様に、libyara64.dllとyara_rule_file.txtは、うさみみハリケーン本体の64ビット版(UsaMimi64.exe)に実装された、YARAルールを用いたプロセスメモリのスキャン機能で使用します。msvcr100.dllはlibyara32.dllやlibyara64.dllが動作上必要な再配布可能ランタイムです。なお、うさみみハリケーン本体の32ビット版では、使用するコンパイラの制約により、YARAルールを用いたプロセスメモリのスキャン機能が実装できないため、AoZoraSiroNeko.exeに同機能の実装を行いました。 このソフトウェアはWindows9x/Me/2000では使用できません。また、推奨される実行環境はWindows 7以降の64ビット版Windows OSです。 AoZoraSiroNeko.exeの概要及び基本操作等 |
16Edit.DLL/16Edit64.DLL/LucaAhead.dll/UMPEhelper.exe/UserDB.txt/UserDB64.txt
|
同梱の16Edit.DLL/LucaAhead.dllは、UMPE.exeとAoZoraSiroNeko.exeの補助用DLLで、それぞれバイナリエディタでの編集、デジタル署名の有効性チェックを行うためのものです。同様に16Edit64.DLLはUMPE64.exeが使用します。 UMPEhelper.exeは、Windows8での、OS仕様に伴う一部処理の不具合の回避に使用します。UserDB.txt/UserDB64.txtはUMPE.exe/UMPE64.exeが使用するパッカーやコンパイラのデータベースファイルです。 |
HekisaNyan.exe
|
同梱のHekisaNyan.exeは、バイナリファイルの操作や解析を行うヘキサエディタ(ヘキサデシマルエディタ・16進エディタ、日本での通称は「バイナリエディタ」)です。このソフトウェアは、当ソフトウェアのメニューから呼び出すことが可能です(メニューの「その他」→「ヘキサエディタ」)。 このソフトウェアはWindows9x/Me/2000/XP/Vistaでは使用できません。 HekisaNyan.exeの概要及び基本操作等 |
NekoBinDiff.exe
|
同梱のNekoBinDiff.exeは、バイナリファイルの比較を行うツールです。このソフトウェアは、当ソフトウェアのメニューから呼び出すことが可能です(メニューの「その他」→「バイナリファイル比較ツール」)。 このソフトウェアはWindows 10以降が動作環境です。 NekoBinDiff.exeの概要及び基本操作等 |
NekoharaKiu.exe/Microsoft.Diagnostics.Tracing.TraceEvent.dll/KernelTraceControl.dll
|
同梱のNekoharaKiu.exeは、Windows上で行われる、実行ファイルを起動といった主要処理の実行情報を取得して表示する、プロセスモニターです。実行ファイルを起動すなわちプロセス作成や、スレッド作成、DLLインジェクションを含むDLL読み込み、メモリ確保、ファイル操作、レジストリ操作、ネットワーク送受信などの実行情報を取得可能です。Microsoft.Diagnostics.Tracing.TraceEvent.dll/KernelTraceControl.dllはNekoharaKiu.exeが使用します。 このソフトウェアは、.NET Framework 4.0 以上が(プレ)インストールされた環境で動作します。Windows 8(無印)以降ならば、.NET Framework 4.5 以上がプレインストールされています。 このソフトウェアは、当ソフトウェアのメニューから呼び出すことが可能です(メニューの「その他」→「プロセスモニター」)。なお、このソフトウェアは管理者権限での起動が必須であり、上記メニューからの呼び出し時には、当ソフトウェアも管理者権限で起動されている必要があります。 NekoharaKiu.exeの概要及び基本操作等 |
NekoLaunch.exe/NekoLaunch.ico/NekoLaunch_Def.xml
|
同梱のNekoLaunch.exeは、うさみみハリケーン本体および同梱ソフトウェアの起動等を簡易化する、ボタン型ランチャーです。NekoLaunch.icoは、NekoLaunch.exeの実行時にタスクトレイに登録するためのアイコンです。NekoLaunch_Def.xmlはNekoLaunch.exeの設定ファイルのインストール用ファイルであり、初回実行時にはNekoLaunch.xmlにリネームされます。 このソフトウェアは、.NET Framework 4.5 以上が(プレ)インストールされた環境で動作します。Windows 8(無印)以降ならば、.NET Framework 4.5 以上がプレインストールされています。 このソフトウェアは、当ソフトウェアのメニューから呼び出すことが可能です(メニューの「その他」→「ボタン型ランチャー」)。しかし、基本的に管理者権限での起動が必要となるため、タスクスケジューラに登録し、Windowsのログイン時に併せて自動的に管理者権限で起動させることをお勧めします。 参考:タスクスケジューラに登録する手順の解説(「Digital Travesia」内Q&A) NekoLaunch.exeの概要及び基本操作等 |
PortableExplorer.exe/Microsoft.WindowsAPICodePack.dll/Microsoft.WindowsAPICodePack.Shell.dll/IFilterTextReader.dll
|
同梱のPortableExplorer.exeは、Windows付属のエクスプローラーを部分的に複製した、簡易エクスプローラーです。Microsoft.WindowsAPICodePack.dll/Microsoft.WindowsAPICodePack.Shell.dllおよびIFilterTextReader.dllは、PortableExplorer.exeが使用します。 このソフトウェアは、.NET Framework 4.0 以上が(プレ)インストールされた環境で動作します。Windows 8(無印)以降ならば、.NET Framework 4.5 以上がプレインストールされています。 このソフトウェアは、当ソフトウェアのメニューから呼び出すことが可能です(メニューの「その他」→「簡易エクスプローラー」)。 PortableExplorer.exeの概要及び基本操作等 |
UsaTest2.EXE
|
同梱のUsaTest2.EXEは、当ソフトウェアのプロセスメモリ編集機能や検索機能をテストするためのソフトウェアです。プロセスメモリエディタを初めて扱うような初心者の方が、当ソフトウェアの操作に簡単に慣れるのに役立つと考えられるため同梱しました。また、64ビット版のUsaTest2_x64.exeも同梱しています。 UsaTest2.EXEは、アセンブリ言語で製作した、かなり古いタイプの実行ファイルであるため、Windows 10といった新しいWindows OS上では、特に終了時に何らかのエラーが発生する可能性があります。 当ソフトウェア用の改造コードは以下です。また、UsaTest2.exeプロセスのアドレス403000から412FFFまでの範囲は、自由に使用できるメモリエリアとして確保していますので、プロセスメモリ書き換えの練習等に使用可能です。 ;UsaTest2改造コード ;固定アドレス 402148-E7030000 ;環境依存型変動アドレス *40214C>1000-65 ;単純フラグ 402150-01 ;ビットフラグ 402154-FF ;パラメータ減少無効化 パターン1 (アクセス属性変更付き) A00401000S00001000 004013AC-E9B9FEFFFF ;パラメータ減少無効化 パターン2 (アクセス属性変更付き) A00401000S00001000 004013BC-00 |
UsaTest2Win.exe
|
同梱のUsaTest2Win.exeは、プログラム解析を演習するためのソフトウェアです。このソフトウェアは製作者が執筆したプログラム解析の入門書『デバッガによるx86プログラム解析入門
【x64対応版】』で、プログラム解析のアプローチ例を解説するために製作しました。 書名:デバッガによるx86プログラム解析入門 【x64対応版】 著者名:Digital Travesia管理人 うさぴょん 出版社:株式会社 秀和システム 判型:A5判 ページ数:352ページ 本体価格:2,400円 ISBN:978-4-7980-4205-3 C3055 本書関連情報ページ(Digital Travesia内) |
NekoAsm.exe/NekoAsm64.exe
|
同梱のNekoAsm.exeは簡易アセンブラ兼逆アセンブラで、アセンブルコードリストをアセンブルしてバイナリデータをテキスト形式で出力したり、テキスト形式で入力されたバイナリデータを逆アセンブルしてアセンブルコードを出力することが可能です。このソフトウェアは、プロセスメモリ上にコードを書き込んで実行させる「パラサイトルーチン」の作成等に有用です。このソフトウェアは、当ソフトウェアのメニューから呼び出すことが可能です。NekoAsm64.exeはNekoAsm.exeの64ビット版です。 NekoAsm.exeの概要及び基本操作等 |
NekoAsm.dll/XEDParse.dll/XEDParse64.dll
| 同梱のNekoAsm.dllはアセンブラ・逆アセンブラエンジン本体で、当ソフトウェアの逆アセンブル機能及び、NekoAsm.exeが使用します。XEDParse.dllはx86アセンブラエンジン本体で当ソフトウェア(32ビット版)のパラサイトルーチン作成機能等で使用します。XEDParse64.dllはx64アセンブラエンジン本体で、当ソフトウェア(64ビット版)のパラサイトルーチン作成機能及び、NekoAsm64.exeが使用します。 |
ResStrView_DotNET35.exe/ResStrView_DotNET40.exe/Vestris.ResourceLib.dll
| ●概要と注意点 同梱のResStrView_DotNET35.exe/ResStrView_DotNET40.exeは、実行ファイルのリソースに格納されている文字列の取得に特化したリソース文字列ビューアです。「DotNET35」版は、.NET Framework 3.5 が(プレ)インストールされた環境で実行可能であり、Windows XP/Vista/7での使用を想定しています。また、「DotNET40」版は、.NET Framework 4.x が(プレ)インストールされた環境で実行可能であり、Windows 8以降での使用を想定しています。Vestris.ResourceLib.dllはリソース文字列取得エンジン本体です。 Vestris.ResourceLib.dllの仕様により、他のプロセスが使用中の実行ファイルは解析できません。実行中のプロセスのEXEファイルなども同様です。また、パッカーで圧縮や暗号化が施された実行ファイルのリソースは読み取れないことがあります。 ResStrView_DotNET35.exeとResStrView_DotNET40.exeにソースコード上の違いはありません。ただし、「DotNET35」版では、解析対象が.NET Framework 4.0以上ベースの「.NETアプリケーションの実行ファイル」すなわち「アセンブリ」ならば、そのアセンブリに埋め込まれた一部のリソースが認識できません。また、「DotNET35」版と「DotNET40」版ともに32ビット版であるため、解析対象が64ビット版のアセンブリならば、埋め込まれた一部のリソースが認識できません。そこで、アセンブリを解析対象とする際には、32ビット版のアセンブリを指定してください。なお、現状では、一般的なソフトウェアやマルウェアなどで、64ビット版のアセンブリのみ提供というケースは多くはありませんので、64ビット版のアセンブリに対処可能な、64ビット版の「DotNET35」版と「DotNET40」版は製作していません。他の特筆すべき点として、いったん読み込んだ解析対象アセンブリは解放されず、当アプリケーションが終了するまで使用中の状態となり、他のアプリケーションからこのアセンブリを開くことができなくなります。これらの、.NET Frameworkの仕様による制約があることにご注意願います。 .NETアプリケーションの実行ファイル「アセンブリ」では、画面に表示される「ボタン上の文字列」などは、一般的な実行ファイルのリソースとは異なる格納形式になっているため、当ソフトウェアでは取得できません。このような文字列は、.NETアプリケーション用の逆コンパイラを用いるか、あるいは、うさみみハリケーンを使ってボタンなどに設定されたウィンドウ文字列として取得することで対処可能です。うさみみハリケーンでは、メニュー[ファイル]→[プロセスの各種情報を表示]→[ウィンドウ]タブで、目的の文字列を選択してから右クリックにより対象文字列をコピーできます。 ●基本操作 まず、実行環境にあわせてResStrView_DotNET35.exeあるいはResStrView_DotNET40.exeを起動し、解析対象の実行ファイルを読み込みます。それから、リソース一覧上で緑色に色づけされた文字列リソース項目を選択すると、対象リソースの格納文字列を表示します。この際、リソースの格納文字列をそのままではなく、開発者用のリソーススクリプト(RC)形式で出力します。また、一覧表示された全てのリソースで、選択時にはそのバイナリデータをバイナリエディタの表示形式で表示します。 基本的に、一般的なリソース文字列は、文字コードがUnicode形式となっています。 HTMLファイルのリソース「RT_HTML」は、エンコード等の問題があるため文字列の表示は行いません。[選択リソースをダンプ]ボタンでダンプ(ファイルに保存)してから安全性を確認後に、ブラウザでオープンしてください。なお、.NETアプリケーションが標準(レジストリ書き換えなし)で実装できるブラウザ機能は、旧式のIE7ベースとなるため実装を見送りました。 当ソフトウェアが対応している一般的な文字列リソース形式とは異なる、独自のリソース形式で文字列データを格納するケースもあります。この場合は、当該リソース選択時のバイナリデータ表示内容から文字列データ格納を確認後に、いったん対象リソースをダンプしてからテキストエディタあるいはバイナリエディタでオープンしてみてください。このような独自形式のリソースで、特にバイナリデータと文字列のデータが混在しているケースならば、同梱の汎用ファイルアナライザ「青い空を見上げればいつもそこに白い猫」が実装している、文字コード別の文字列抽出機能で対処してください。 リソースには、独自のリソースとして実行ファイルが含まれることもあります。この場合、ダンプした実行ファイルの動作確認は、必ず仮想PC上といった安全な実行環境で行ってください。 リソース一覧上で画像データであるリソースが選択された場合は、画面右下のバイナリデータ表示部の右にある画像表示部(ピクチャーボックス)に画像を表示します。この画像表示部は、当ソフトウェアの初期ダイアログ画面サイズには収まらなかったため、画面右下最下部のサイズグリップのドラッグや、最大化などで画面サイズを拡大しないと使用できません。対応している画像形式はBMP(「RT_BITMAP」リソースを含む)、PNG、GIF、JPEG、TIFF形式などです。また、グループアイコン「RT_GROUP_ICON」やグループカーソル「RT_GROUP_CURSOR」選択時にも、そのアイコンやカーソルに含まれる画像(複数の画像が含まれる場合はその一つ)を表示します。この画像表示機能は当該リソースが本物の画像データであることの確認用であり、画像は実サイズではなく適度に拡大縮小して表示されます。そのため、画像表示時には、実サイズの画像データをクリップボードにコピーし、画像編集ソフト上でペーストできるようにしています。このクリップボード経由で取得した画像データの利用は、私的利用といった、著作権や意匠権等の侵害にならない範囲で行ってください。なお、実行ファイルにおけるリソース格納の仕様により、リソース一覧上の「RT_BITMAP」や「RT_GROUP_ICON」および「RT_GROUP_CURSOR」リソースをそのままダンプしても、正常に機能するBMP画像ファイルやアイコンファイル等にはなりません。ただし、同梱のPEエディタ「UMPE」には、アイコンリソースをアイコンファイルに変換して一括出力する機能を実装していますので、必要に応じて同機能を使用してください。 ●設定の保存 この解析ツールはC#言語で製作しており、使用フォント情報やウィンドウ位置情報の保存と復元には、INIファイルではなくC#言語で操作が容易なXMLファイルを使用します。 |
UsaSpeed.dll/UsaSpeed32.dll/UsaSpeed64.dll/UsaSpeed64Alt.dll
|
同梱のUsaSpeed.dllは、APIフックを用いた、対象プロセスの実行速度調整やCPU占有率の制御を行うためのものです。UsaSpeed32.dllは同DLLの新型32ビット版で、UsaSpeed64.dllは同DLLの64ビット版です。UsaSpeed64Alt.dllは、64ビット版のUsaMimi64.exeで実装した、実行速度調整機能の代替アプローチ版で使用します。
UsaSpeed.dllとUsaSpeed32.dllはどちらも32ビット版ですが互換性はありません。 過去のバージョンで同梱・使用していたUsaSpeed2.dllは、UsaSpeed.dllに統合しましたので現バージョンでは不要であり削除可能です。 |
UsaSweep.dll
|
同梱のUsaSweep.dllは、当ソフトウェアの仮想アドレス空間内でのKernel32.DLL・Ntdll.DLL書き替えや、カーネルスペースでのService
Descriptor Table(SDT)書き替えによるAPIフックの解除機能を提供するDLLモジュールです。この機能はプロセスメモリエディタやデバッガの動作を阻害する、ウイルス・rootkit・トロイ等を解析するケースを想定して実装しました。 このDLLは、無償配布されている『Win2K/XP SDT Restore』に同梱されているソースコードをほぼそのまま流用しています。ソースコードが欲しい方は『Win2K/XP SDT Restore』を公式サイトで入手して下さい。 |
NekoWalk.dll/NekoWalk64.dll
| 同梱のNekoWalk.dllは、対象プロセスの実行状況に関する各種情報を取得するためのものです。NekoWalk64.dllは同DLLの64ビット版です。 |
GenProcHook.dll
| 同梱のGenProcHook.dllは、対象プロセスへのAPIフック等を行うためのものです。 |
imgctl.dll
|
同梱のimgctl.dllは、ルーチェ氏が製作した、プログラマ用の各種画像操作ライブラリです。同DLLはダンプ表示ウィンドウの表示画面を画像ファイルとして保存する際に使用します(メニューの[ウィンドウ]→[ウィンドウ画面の保存とコピー])。 「imgctl.dll」入手先: https://www.vector.co.jp/soft/win95/prog/se222453.html |
pe_unmapper.exe
| 同梱のpe_unmapper.exe は、hasherezade氏が製作したプログラム解析補助ツールです。プロセスメモリ上からダンプしたモジュールを、PEファイルとして解析しやすいよう内部構成を修正することができます。この実行ファイルは、UsaMimi.exe、UsaMimi32.exe、UsaMimi64.exe、UMPE.exe、UMPE64.exe が実装している、モジュールのダンプ機能が使用します。 |
TrIDLib.dll/TrIDDefs.trd
| 同梱のTrIDLib.dllと TrIDDefs.trdは、Marco Pontello氏が製作した、ファイル種別判別用ライブラリとその定義ファイルです。これらのファイルは、同梱の汎用ファイルアナライザ「青い空を見上げればいつもそこに白い猫」(AoZoraSiroNeko.exe)が使用します。これらのファイルのライセンス文書は、当ヘルプの「ライセンス情報」ページに格納しています。 |
プラグイン
| 当ソフトウェアのプラグイン対応機能についての解説 当ソフトウェアの機能を拡張するプラグインを同梱しています。32ビット版のプラグイン(実体はDLLファイル)は当ソフトウェアのインストールフォルダ直下の、「Plugin」フォルダ内にあります。64ビット版のプラグインは「Plugin64」フォルダにあります。第三者が製作したプラグインも、32ビット版か64ビット版かに応じてこの「Plugin」あるいは「Plugin64」フォルダ内に導入してください。 当ソフトウェアでは以下のプラグインを同梱しています。「UHPsample.dll」と「UHP64_Sample.dll」は、プラグインを製作されたい方向けのサンプルであり、作者のWebサイトでC++言語のソースコードを配布しています。このプラグインはプログラミング初心者の方でも製作可能にするため、仕組みを簡易化してます。また、配布しているソースコードは、Microsoftが無償で配布している統合開発環境「Visual Studio Community」でコンパイル可能です。 ・UHPjoy2write.dll(ジョイパッドでの入力で改造コード実行・キー入力に変換・マクロ実行) ・UHPAdrCalc.dll(多重ポインタ解析補助用の演算式によるアドレス演算) ・UHPProcFitter.dll(対象プロセスの各種実行環境設定) ・UHPMemMap.dll(プロセスメモリのメモリマップ視覚化) ・UHPsample.dll(UsaTest2.EXEのプロセスメモリ書き換えおよび、検索・書き換え半自動化等のプラグインサンプル) ・UHPSearchHotkey.dll(「範囲検索(64Bit Mode)」の各種操作用ホットキーを設定するプラグインの試作版) ・UHP64_Sample.dll(UsaTest2_x64.exeのプロセスメモリ書き換えおよび、検索・固定化書き換え半自動化等のプラグインサンプル) ・UHPProcFitter64.dll(上記UHPProcFitter.dllの64ビット版) ・UHPSearchHotkey64.dll(上記UHPSearchHotkey.dllの64ビット版) ・UHP64_FileReader.dll(対象プロセスのプロセスメモリ上に任意のファイルをロード) 過去のバージョンに同梱していたサンプルのプラグインのうち、「UHPsample2.dll」は、Microsoftが統合開発環境の配布方針を変更したことに伴い存在意義が薄れたため削除しました。また、「UHPsampleAuto.dll」はその機能を既存のプラグイン「UHPsample.dll」に統合したため削除しました。現在では、「UHPsample2.dll」と「UHPsampleAuto.dll」は不要であり削除可能です。 |
NekoTrip.exe/UsaTest2_x64.exe/BeaEngine.dll/BeaEngine64.dll/capstone.dll/DisAsmSH.dll
|
NekoTrip.exeは、UsaMimi64.exe開発用の補助ツールで、過去のバージョンに同梱していたものです。現在ではNekoTrip.exeの全機能をUsaMimi64.exeが実装しているため、NekoTrip.exeは削除可能です。 BeaEngine64.dllはUsaMimi64.exeが逆アセンブル処理に使用するDLLです。BeaEngine.dllはUsaMimi32.exeが逆アセンブル処理に使用します。また、BeaEngine.dllとcapstone.dllはAoZoraSiroNeko.exeが逆アセンブル処理に使用します。これらのDLLは、公式サイトで配布されているDLL(コード改変なし)を、LoadLibrary関数で動的にロードして使用しています。DisAsmSH.dllも同様にAoZoraSiroNeko.exeが逆アセンブル処理に使用しますが、こちらはWebで配布されているソースコード(ライセンスなし)をAoZoraSiroNeko.exe用にコンパイルしたものです。capstone.dllは、正式版ではない安定性が不十分な「リリース候補版」など新しいバージョンもありますが、そのような非正式版で当ソフトウェア同梱のcapstone.dllを差し替えれば、AoZoraSiroNeko.exeの動作上の不具合を招く可能性があります。 UsaTest2_x64.exeは同梱UsaTest2.EXEの64ビット版です。64ビット版Windows OSに合わせて若干仕様を変更しています。 UsaTest2_x64.exeは、32ビット版のWindows OS上では実行できません。動作対象OSは、Windows7以降の64ビット版Windows OSです。 |
VEHDebugger.dll/VEHDebugger64.dll
| 同梱のVEHDebugger.dllとVEHDebugger64.dllは、新型32ビット版「UsaMimi32.exe」および64ビット版「UsaMimi64.exe」に実装した、「VEHデバッガ」で使用します。 |
DotNETManagedcodeInjector.dll/DotNETManagedcodeInjector64.dll/DotNETManagedcodeInjectSample.dll
| 同梱のDotNETManagedcodeInjector.dllとDotNETManagedcodeInjector64.dllは、新型32ビット版「UsaMimi32.exe」および64ビット版「UsaMimi64.exe」に実装した、「.NET Frameworkのマネージドコードを注入して実行」機能で使用します。DotNETManagedcodeInjectSample.dllは同機能を試行するためのサンプルです。 |
Neko57Helper.exe
| Neko57Helper.exeは、汎用プロセスメモリエディタ兼デバッガ「スペシャルねこまんま57号」を非対応OS、つまりWindows
Vista以降で使用するための補助ツールです。 スペシャルねこまんま57号は、2種類の改造コード(書き換え自動化用スクリプト)に対応するバイナリファイルの書き換え機能や、1つのバイナリファイルに含まれている複数の画像・音声・動画ファイルなどを切り出す、ファイル抽出機能を実装しています。そのため、当ソフトウェア同梱の汎用ファイルアナライザ「青い空を見上げればいつもそこに白い猫」(同梱AoZoraSiroNeko.exe)と親和性があり併用することで有効活用できます。しかしながら、スペシャルねこまんま57号はWindows Vista以降で実装されたセキュリティ関連機能やAPI関数の仕様変更には対応していないため、この補助ツールを製作しました。なお、スペシャルねこまんま57号はすでに開発とサポートを終了しており、この補助ツールも動作やサポートは保証されません。 当補助ツールを経由してスペシャルねこまんま57号を起動すれば、非対応OS上で生じるプロセスの列挙やドラッグ・アンド・ドロップ時の不具合が解消されます。当補助ツールを経由するための、ランチャーやショートカットで設定するコマンドラインオプションの例は下記。事前にNeko57Helper.exeをスペシャルねこまんま57号のインストールフォルダにコピーして下さい。 C:\APP\Neko57\Neko57Helper.exe /Neko57.EXE その他の注意事項等につきましては、当補助ツールを単体で起動した際に表示される、簡易ヘルプを参照願います。 |