2008年12月21日
めがね
無くしたメガネはついに見つからぬまま。とはいえ年末の旅行でロングドライブするから、このままメガネなしで居るのもまずい。というわけで西武百貨店のメガネ屋にニューめがねを作りに行きました。
当初は黒か銀のフレームにするつもりでした。展示品を見ていたら赤いメガネが目についたもので「赤いメガネがある、あれも赤い、これも赤い」って言って回っていました。そうしたら赤を探しているように見えたらしく、店員さんがやたら赤いメガネばかり持ってくる。そのうち目の前には赤がずらっと並び、どの赤にしますか?って雰囲気に…。
机の上に置いたときは派手な色ですが、かけてみると意外と赤も悪くないね。うん。結局、赤いメガネにしました。できあがるのは明後日だそうで。はやっ。
コメント一覧
- コメントはありません。
この記事にコメントする
2008年12月19日
標準準拠
洗濯機の動画を張ったときの日記(2008年10月15日の日記参照)は HTML 4.0に非準拠(EMBEDタグ)です。わかっていますがあえて直しません。標準準拠は大事ですが、動画だけは例外にします。
いちいち保存して再生…より、ワンクリックで再生出来た方が動画の意味があると考えます。もちろんEMBEDタグを知らないブラウザのために、ファイルへのリンクを併記するつもりです。
コメント一覧
- コメントはありません。
この記事にコメントする
2008年12月17日
ぷち昇進へ
今週はずっと来年の昇進(?)のための資料作り&発表練習です。研究のプレゼンとか、カイシャのプレゼンってのはどうも苦手だなあ。
コメント一覧
- コメントはありません。
この記事にコメントする
2008年12月15日
アロニア
いつの話かわからんけどWikiのネタ帳にあったので、使ってみる。
いつぞや新幹線に乗ったときに蒟蒻畑のイチゴ味を買って食べてたのですが、原材料表示を見ると「りんご、いちご、アロニア果汁」とあります。
せっかくのイチゴ味なのにリンゴ果汁の方が多い(※)のか?という疑問もさることながら、アロニアって何!?という疑問で頭がいっぱいです。イチゴと関係ない変な植物?いや、そもそも植物?なんてことを想像しつつ、帰路を急ぎました。
家で調べてみるとなんてことはなくて、食用の果実でした。別名チョークベリー、味は渋みが強い(Wikipedia - アロニア属より)とのことです。生でみかけることはなさそうな果物です。
蒟蒻畑に入っているのもおそらく少量で、味に奥行きを出すために加えているのでしょうね。
(※)原材料表示では通常、製品のより多くを占める材料から順に書かれる。
コメント一覧
- コメントはありません。
この記事にコメントする
2008年12月13日
普段使わないから
再来週に控えたぷち昇進(?)のための資料作りとか、発表練習のおかげで、普段使わない頭の部分を使っている気がします。おかげでどっと疲れました。
というわけで今週末はのんびり…というかダラダラ。
コメント一覧
- コメントはありません。
この記事にコメントする
2008年12月11日
店内放送
だいぶ前の話です。店内放送で聞いたことある曲がかかっていたけれど、どうも曲名が思い出せない。NHKのふっるいシルクロード紹介番組で使っていたことも思い出せるのになあ。
なんて曲だっけなあ?と、もやもやしたまま家に着いてしまいました。気になって仕方なくて調べたら、喜多郎の「シルクロード」という曲でした。そのまんまじゃねーか…思い出すもくそもないね。
コメント一覧
- コメントはありません。
この記事にコメントする
2008年12月8日
ラテールのプロテクト
ラテールのゲームプロセスが見えるようになりました。解き方は書いたらまずそうなので書きません。スマートな方法でもないし…。
以前書き散らした通り、Gamepotプロテクトは比較的単純なrootkitです。具体的には以下のようにしてプロセスを隠蔽しています。
プロセスの一覧
Gamepot rootkit(以降GR)は簡単に言うと、プロセス一覧を取得するサービスコール(システムコール?)をフックし、ゲームプロセスが見えないように書き換えてしまう方法です。
カギとなるのはNtQuerySystemInformationです。NtQuerySystemInformationは様々な機能を持ちますが、その内の一つにプロセスの一覧を取得する機能があります。
プロセス一覧を取得する際、NtQuerySystemInformationは以下の構造体の配列を返します。
先頭のNextEntryOffsetはプロセス情報のサイズをバイト単位で表します。現在のプロセス情報のポインタにNextEntryOffsetだけ足せば、次のプロセス情報の先頭を指す、という寸法です。
最後のプロセス情報のNextEntryOffsetには0が入っているので、区別できます。
SYSTEM_QUERY_INFORMATION *pinfo;
while (pinfo) {
//何かしらの処理をする
...
if (pinfo->NextEntryOffset) {
pinfo = (SYSTEM_QUERY_INFORMATION *)((unsigned char *)pinfo + pinfo->NextEntryOffset);
} else {
pinfo = NULL;
}
}
なぜこんな面倒な方法をとるかというと、プロセス情報のサイズが不定だからです。プロセス情報はスレッド情報を含んでおり、スレッド情報の要素数はプロセスが持つスレッド数によって増減するためです。
rootkitによるプロセスの隠蔽
GRはシステムコールテーブル(※)を書き換え、NtQuerySystemInformationをフックします。
NtQuerySystemInformationが呼ばれてプロセス一覧が取得されるときに、ゲームプロセスの前に位置している要素を書き換えることで、ゲームプロセスを隠蔽します。下図を参照ください。
NtSystemQueryInformationのフックと書き換え
オレンジ色のNextEntryOffsetを、プロセス情報2つ分(書き換え対象のプロセス情報と、GRが隠したいプロセス情報)のサイズに改竄します。
改竄された情報を用いて、プロセス情報を先頭から処理しようとすると、白抜きしたプロセス(ゲームプロセス)が飛ばされ、認識できなくなります。
つまりGRによってプロセスが隠蔽されてしまったのです。
(※)WindowsではSystem Service Descriptor Table(SSDT) と呼ばれています。
弱点
しかしカーネル内のプロセス構造体はそのままなので、プロセスIDを直撃ちして、OpenProcessすると成功してしまいます。とはいえ、ユーザ空間から隠されたプロセスIDを知る方法はないので、メモリを書き換えてくるようなプロセスから身を守るにはこのくらいの機能で十分かもしれません。
コメント一覧
- コメントはありません。
この記事にコメントする
| < | 2008 | > | ||||
| << | < | 12 | > | >> | ||
| 日 | 月 | 火 | 水 | 木 | 金 | 土 |
| - | 1 | 2 | 3 | 4 | 5 | 6 |
| 7 | 8 | 9 | 10 | 11 | 12 | 13 |
| 14 | 15 | 16 | 17 | 18 | 19 | 20 |
| 21 | 22 | 23 | 24 | 25 | 26 | 27 |
| 28 | 29 | 30 | 31 | - | - | - |
最近のコメント5件
最近の記事20件
-
20年8月24日
すずき (08/28 23:30)
「[ALSAループバックデバイスで簡易リモート再生] 目次: ALSAデスクトップPCにはスピーカーを繋いでいませんが、たまに音...」 -
23年6月1日
すずき (08/21 01:43)
「[自宅サーバー - まとめリンク] 目次: 自宅サーバーこの日記システム、Wikiの話。カウンターをPerlからPHPに移植日...」 -
13年5月10日
すずき (08/21 01:43)
「[Debian 7.0 Wheezyにアップデート] 目次: 自宅サーバーリリースノートを読みつつ、apt-get updat...」 -
15年4月30日
すずき (08/21 01:42)
「[Debian 8.0 Jessieにアップデート] 目次: 自宅サーバーDebianのアップデートが来ていたので、試しに職場...」 -
23年6月13日
すずき (08/21 01:42)
「[Debian 12 Bookwormにアップデート] 目次: 自宅サーバーDebianの更新はとても簡単でありがたいですが、...」 -
25年8月17日
すずき (08/21 01:40)
「[Debian 13 Trixieにアップデート] 目次: 自宅サーバー先日8/9にDebian 13がリリースされました。コ...」 -
25年8月20日
すずき (08/21 01:38)
「[パスポートのオンライン申請] 海外出張の予定が発生してパスポートが必要になりました。以前発行した10年パスポートの発行日を見...」 -
25年8月15日
すずき (08/17 06:26)
「[帰省終わり、東京へ] 帰ってきました。東京に降り立った瞬間に暑くてイヤになりました……。朝10時...」 -
25年8月11日
すずき (08/17 06:20)
「[帰省始まり、北海道へ] 北海道に帰省しました。今年は北海道も30℃超え連発で割と暑い年とはいえ、東京と決定的に違う点は湿度で...」 -
23年5月15日
すずき (07/30 01:37)
「[車 - まとめリンク] 目次: 車三菱FTOの話。群馬県へのドライブ1群馬県へのドライブ2将来車を買い替えるとしたら?FTO...」 -
25年7月25日
すずき (07/30 01:36)
「[電装系が微妙なジャガーさん] 目次: 車車を買い替えてから1週間くらい経ちました。通勤路以外は幹線道路や高速をメインにしばし...」 -
19年9月1日
すずき (07/30 01:36)
「[カーナビを買いました] 目次: 車一昨年にカーナビが壊れて(2017年9月3日の日記参照)以来、カーナビを使わず過ごしていま...」 -
25年7月20日
すずき (07/22 01:56)
「[ジャガーXE Sを買いました] 目次: 車車を買い替えました。ジャガーXE Sです。マイナー車すぎて会社の人たちもあまり知ら...」 -
24年7月7日
すずき (07/22 00:00)
「[PC - まとめリンク] 目次: PC一覧が欲しくなったので作りました。 スピーカーGX-D90故障ノートPCの内蔵サウンド...」 -
21年4月16日
すずき (07/21 23:59)
「[ドキュメントスキャナーで書類を電子化] 目次: PC我が家の本棚は広い方ではないのに、ほとんど参照しない書類が幅を取っていて...」 -
21年4月6日
すずき (07/21 23:58)
「[ディスプレイアーム] 目次: PC机の奥行きが60cmのためか、ディスプレイの足がキーボードとぶつかって若干邪魔なのと、前か...」 -
21年2月27日
すずき (07/21 23:56)
「[新キーボードMajestouch購入] 目次: PC先日の在宅勤務環境改善(2021年2月12日の日記参照)にて、デュアルデ...」 -
21年2月28日
すずき (07/21 23:55)
「[JIS配列キーボードとOADG配列キーボード] 目次: PC今まで、いわゆる日本語配列のキー配列のことを漠然とJIS配列と呼...」 -
21年3月6日
すずき (07/21 23:54)
「[気に入るマウスはどれ?] 目次: PC手に合うワイヤレスマウスを探し続け、高級製品、小さい製品、お手ごろ製品と買いまくり、一...」 -
21年3月7日
すずき (07/21 23:53)
「[電源タップの雷ガード] 目次: PC在宅勤務環境を整えようと、電源タップを物色していました。電源タップを見ていると大体3つに...」
こんてんつ
wiki Linux JM Java API過去の日記
2002年 2003年 2004年 2005年 2006年 2007年 2008年 2009年 2010年 2011年 2012年 2013年 2014年 2015年 2016年 2017年 2018年 2019年 2020年 2021年 2022年 2023年 2024年 2025年 過去日記についてその他の情報
アクセス統計 サーバ一覧 サイトの情報
合計:
本日:
