コグノスケ


link 未来から過去へ表示(*)  link 過去から未来へ表示

link もっと前
2007年3月9日 >>> 2007年2月28日
link もっと後

2007年3月9日

将来の漠然とした不安

就職先から連絡が来ません。私は来年度どこに住めば良いのでしょうか。

しかも部署によりますが本社で研修、移住、事業所で研修というコースもあるらしく、4月に定住先が決まるのかどうか不安になってきました。

可能ならば、今住んでいるアパートを5月まで借りてしまって、ゆっくり引っ越しするという手が一番良いような気がしてきました。今年は2年契約の真ん中なのでできるはずですけど、一回不動産屋に退去するって言っちゃったのが心配。月曜日にでも不動産屋に聞いてみるかな。

こんなことになるなら、車を実家に置いてくる必要は全くなかったんですねえ。無駄に不便になっただけだったよ。うーん。

編集者:すずき(2007/03/10 04:22)

コメント一覧

  • コメントはありません。
open/close この記事にコメントする



2007年3月8日

Win32 APIのフック

研究室の方々が WindowsってAPIのレイヤでフックできないの?って話をしていたのでちょっと考えてみました。DLLの呼び出しをフックする手法は以下のような手法が考えられますが、どれも一長一短です。

フックDLL
概要:フックしたいDLLと同じexportsを持つ偽物DLLを作成して、操作対象プロセスに優先的にロードさせる(カレントディレクトリに配置など)。
長所:比較的簡単に実現できる。
短所:いちいちDLL作るのめんどくさい。いくつかのDLLには効かない。
デバッグ関数
概要:OSのデバッグ機能を用いて、フックしたいAPIの先頭アドレスでデバッグブレークする。
長所:簡単かな?作ったこと無いので良くわからんです。
短所:たぶん遅い。Windowsはデバッガのデタッチができないため、用が済んでもフックプロセスを消せない。これは致命的。
IATパッチ
概要:DLLの関数をcallするときに用いるアドレステーブル(IAT: import address table)を書き換えて、フック処理を呼ばせる。
長所:IATさえ使っていればどんなDLLの関数でもフックできる。
短所:IATの書き換えが大変。スタティックリンクされるとフックできない。
コードインジェクション
概要:DLLの関数の先頭を書き換えフック関数へジャンプさせる命令を入れる。
長所:DLLだけに限らず、どの関数でもフックできる。
短所:関数の先頭アドレスが分かっていないとフックできない(DLLの関数ならたぶん大丈夫)。LoadLibraryとGetProcAddressで動的ロードされたり、スタティックリンクされるとフックできない。

名前は勝手に付けました。下に行くほど実装が面倒くさそう、と勝手に思っています。正式名称(orもっと格好いい名前)や、他の方法をご存じの方は、ご教授いただけると幸いです。

IATパッチングによるDLL呼び出しのフック

以前、フックDLLでwinsockかなんかをフックしたことがあるので、今回はIATを外から無理矢理ぶっ潰してフックを実現してみました。

試しにWindows MessengerのSHELL32.dll!Shell_NotifyIconに割り込んで、ダイアログを表示させてみました(下図)。


Shell_NotifyIconをフック

ちなみにshell32.dllであればフックDLLの方が遙かに楽だと思います。kernel32.dll!CloseHandleなんかもフックしてみたのですが、見た目に呼んでるんだか呼んでないんだかわからんのよね。

課題

ロードされたモジュールは各自のIATを持っています。そのためIATパッチを行う場合は、全てのIATのエントリを虱潰しに見なければなりません。

あるプログラムhoge.exeがkernel32.dllとuser32.dllをロードしていたとしたら、IATは少なくともhogeとkernel32とuser32の3つ分存在するはずです。

その状態でuser32.dll!MessageBoxWをフックしたいと思ったら、全てのIATのエントリからMessageBoxWに関わるエントリを探して書き換えなければ、打ち漏らしが発生してしまいます。IATパッチにおいて、フックをかける処理はかなりヘビーなものになるでしょう。

またDLLはいつロード/アンロードされるかわからないので、フックの設定や解除を徹底しようと思うとかなり難しいです。そのため厳密にフックする必要がある、セキュリティシステムなどには向かない手法です。

あとは…フックを通知する方法も考えないと行けませんね。これはそのうちなんとかなるんじゃないかと思っております。

編集者:すずき(2007/03/08 18:39)

コメント一覧

  • hdkさん(2007/03/08 23:01)
    デバッグ機能とアドレステーブルの書き換えの組み合わせはやったことありますw うまくいったけどあれは遅かった
    http://www.deez.info/sengelha/code/win32-ldpreload/
    これやってみたいんだけどな... 結局やってないや
  • すずきさん(2007/03/09 00:28)
    おお、さすが。でもなぜにIATとデバッグを併用?どちらかで良くない?
  • hdkさん(2007/03/09 01:01)
    詳しくないんで、デバッグ機能使って DLL が読み込まれるタイミングをとらえるようにしたんです。あと、子プロセスを全部フックしたかったというのもあります。

    っていうか IAT パッチングってどうやってるの? プロセス起動直後からとらえることってできる?
  • すずきさん(2007/03/09 12:37)
    なるほど。デバッグ機能のDLLロードイベントは便利ですよね。
    CreateProcess直後は IAT にアドレスが書かれていないので、書き換えできないです。既に動いてるプロセスにフックを引っかけることを考えてました。

    起動直後に止めたいとすれば、一応、PE ヘッダに書いてあるエントリポイント(main の頭とか)にフックを入れておいて、その時点で IAT を根こそぎ書き換えるという方法を考えてました。

    でもこれだとDLLの初期化関数(DllMain)は実行されてしまいますかねえ。
  • IKeJIさん(2007/03/10 20:47)
    LoadLibraryをフックするというのでは駄目でしょうか?
  • IKeJIさん(2007/03/10 20:48)
    ところで、この日記のコメントを書く時に、
    >上記、確かに認めます
    とありますが、何を認めるのでしょうか?
  • すずきさん(2007/03/11 17:11)
    そうするとLoadLibrary以外のロード方法に対して無力という罠が。
  • すずきさん(2007/03/11 17:14)
    > 上記、確かに〜
    ホントは、
    管理者の不適切だと思う物は消します
    とか、
    公序良俗に反する物は書くな
    とか、そんな規定を書く予定が、めんどくさくなってやめたのです。その残骸です。
  • すずきさん(2007/03/13 16:21)
    せっかくなので利用の際のお願い、を追加しました。
open/close この記事にコメントする



2007年3月7日

優雅に速く

プログラムというものは基本的には、動いて欲しいと思った通りに動くプログラムを書けば良いと思いますが、スピードや保守性を求め始めると少し事情が変わってきます。

スピードを求めるなら多少トリッキーなコードも必要になるでしょうし、保守性を求めるなら、他人が読むことを考えて綺麗に書く必要があります。

普段からエレガントで速いコードが書ければ良いのにと思っているのですが、私のようなヘボプログラマにとってはなかなか難しいです。

プログラムがうまくいかないと、いつも決まってこんなことを考えています。現実逃避とも言いますね。

編集者:すずき(2007/03/08 06:39)

コメント一覧

  • つかはらさん(2007/03/08 11:08)
    そんなとき自分は
    「時間があれば俺だってもっとうまく書けるのに…」
    と言い訳してしまいます。
  • すずきさん(2007/03/08 17:13)
    ああ、思う思う。

    さらにひどくなると、「後で暇になったら綺麗に書き直せばいいや。」と放置します。
    もちろん書き直しされることは永遠にないのですが…。
open/close この記事にコメントする



2007年3月6日

卒業旅行2日目

朝起きて風邪がぶり返していないことにほっとしつつ、朝ご飯。

せっかく来たからには魚尽くしということで、鴨川市の地魚回転寿司丸藤に行きました。ホテルの晩ご飯も寿司があったので、都合2日で3回寿司食ったことになります。

丸藤は大繁盛で、7組くらい待っていました。恐らく丸藤は元は回らない寿司屋だったんじゃないかと予想しています。つくばで言う大漁寿司(R354沿い)みたいな感じです。

残念ながら実験が忙しくて旅行に参加できなかった榮樂君におみやげを買って、後は外房の海岸沿いをひた走り、海を見ながら帰りました。風がすごくて海が荒れまくりです。

学生生活最後にふさわしい、良い思い出が出来ました。

編集者:すずき(2007/03/07 01:27)

コメント一覧

  • コメントはありません。
open/close この記事にコメントする



2007年3月5日

卒業旅行1日目

研究室のM2の皆さんで千葉に旅行に行きました。行きは高速で内房まで一気に進みました。途中で富津岬に寄ったらものすごい風。飛ばされそうなくらいの風にちょっと楽しさを覚えたりして。

ホテルですが、南房総は白浜町の南国ホテルという所です。安くてご飯も付いているという破格のプランでした。値段だけ見るとビジネスホテルかと思いますよ。

房総に来たからには魚を食おうってことで、寿司屋を探すも下調べしなかったのでどこに何があるかさっぱりわかりません。ホテルの人に聞いてみたら、館山市街に回転寿司のやまとがあるとのこと。チェーン店ですけどきっとネタが違うと信じてそこで食べました。

実はそんなに期待していなかったのですが、100円均一の回転寿司よりかなりおいしかったように思います。他のやまとに行ったことないので、館山だけなのか、全店同じようにうまいのかはわかりません。

ホテルでは温泉に浸かって疲れを癒しつつ、定番の温泉卓球などをやりました。ペングリップかつ、ピンポン球が全然跳ねなくて難しかった…。

ロビー横のインターネットコーナーに2時間くらい入り浸ってたのは、情報系って事でご愛敬です。

編集者:すずき(2007/03/07 01:31)

コメント一覧

  • コメントはありません。
open/close この記事にコメントする



2007年3月4日

きゅーと

キュートで軽く昼食を取って、お菓子を堪能しました。大下さんはタルト、自分はプリン。

やっぱり高いプリンはうまいなあ、という気がしたけど、同じ容器に入れて出されてどれが一番高いか?と聞かれてきっとわからないでしょう。100円で頑張ってるプッチンプリンは偉大だと思う。

風邪

しかしどうやら風邪をひいたようで具合が悪くなり、途中で切り上げて帰ってきました。

それからはずっと寝ていました。大下さんに風邪が伝染ってないことを祈ります…。

編集者:すずき(2007/03/07 00:51)

コメント一覧

  • コメントはありません。
open/close この記事にコメントする



2007年3月3日

遊んだ日

暇で仕方ないというじょーの誘いを受けて、北脇さんと3人で遊んでいました。

ランランで夕飯を食べた後、パーティーパーティーでカラオケしました。スカスカだったのに、微妙に古い機械のある部屋に通されたのはなぜだったのかなあ。一見さんだと思われたかな?

ジャンボリーというゴルフ場で打ちっ放しをしました。YRPに居たときに、一回連れて行ってもらったくらいなもので、全然わかってません。全員右利きなのに、左利き用のクラブを間違って持ってくるくらいわかってません。

そんな状態なのでもちろんボールに当たりません。当たったら当たったで、右や左へ曲がる変化球でした。難しいなあ、ゴルフって…。

最後にいのいち亭で焼き鳥食べて、軽く飲んで解散しました。

編集者:すずき(2007/03/07 01:02)

コメント一覧

  • コメントはありません。
open/close この記事にコメントする



2007年3月2日

シンボルパス、シンボルサーバ

Visual Studioはデバッグのときに、デバッグ対象のモジュール(プログラムやDLLなど)のシンボル情報を探しに行きます。基本的には [ツール(T)] - [オプション(O)] - [デバッグ] - [シンボル] で設定したパスやシンボルサーバを見に行きます。もし _NT_SYMBOL_PATHという環境変数があればそれも見ます(※)。

ここにMSの公開シンボルサーバ(http://msdl.microsoft.com/download/symbols)などを設定しっぱなしにしておくと、VSはデバッグ開始の度に見に行きます。ネットワークのスピードによりますが、かなり待たされます。

ISDN以下のナローバンド、よく切れる無線LANや腐れプロキシを通す決まりがある(企業とか)など、劣悪なネットワーク環境にいる場合、最初の一回で欲しいシンボルを落としておいて、次からは外すのが吉です。シンボルサーバにあるシンボル情報なんてそう変化するものでもないでしょう。

(※) __NT_SYMBOL_PATHは "srv*パス*サーバ" という変わった構文で書かなければなりません。設定方法はMSの Microsoft Symbol Serverを使用して(長い!略)をご覧ください。

編集者:すずき(2007/03/02 10:55)

コメント一覧

  • コメントはありません。
open/close この記事にコメントする



2007年3月1日

家の方が作業効率良いよね

毎回恒例のYRPのネットワークには繋げない、って決まりがあるため、無線LANのアドホックモードで別のマシンに繋いで、そこから外部へ。研究所のネットワークはHTTPしか通さないようなので繋げたとしても利用価値ないですけどね…。

しかしこの無線LANが 20分も持たずに切れる切れる。しまいにゃ俺も切れるぞ、この腐れマシンめ。

マシンが遠いからかと思って、マシンを並べてみても結果は同じでした。アドホックモードってこんな不安定なの?

編集者:すずき(2007/03/01 17:43)

コメント一覧

  • kawasakiさん(2007/03/06 00:38)
    Masterモードで動作させるとどうなるんですかね?
  • すずきさん(2007/03/07 00:37)
    インフラストラクチャモードとアドホックモード以外って、Windowsでできたっけ?
  • kawasakiさん(2007/03/07 10:03)
    Windowsでは無理かもしれませんね
  • hdkさん(2007/03/07 23:23)
    Master モードってアクセスポイントと同じやつ? この前私が買った GW-US54GXS はできるって書いてありましたが。
  • すずきさん(2007/03/08 06:31)
    お、Windowsでもできるんですか。ノートPCが2台あるうちに実験してみるかな。
open/close この記事にコメントする



2007年2月28日

ミスった

未来日記を書いてしまった。防止策か削除できる仕組みを作らねばまたやってしまうなあ。と、前にもこんなことを書いたけど、結局何もしていない。

新しいPC

今使っているノートPC(NEC VersaPro UltraLite)は研究室からの借り物なので、4月になったら返さなければいけません。就職先へ引っ越すときのゴタゴタで、しばらくデスクトップも使えなくなると予想されます。ネットがないのは仕方ないとしても、PCがないのはちときついでしょう、ってことでノートPCを新しく買いました。

買ったのはSONYのVAIO type Gです。新型VersaProとLet's Noteあたりと結構迷いました。どれも捨てがたいです。

VersaProはCPUがCore Duoです。現行VersaProの1.8インチHDDは遅すぎなので、2.5インチHDDを選べるのは良い点です。キーボードのキーが正方形なのがGoodです。
メモリを2GBにできないのがマイナスと言えばマイナスですが、3機種の中で一番バランスが取れていると思います。

Let's NoteもCPUがCore Duoで、14時間という抜群のバッテリー駆動時間を誇ります。速度重視で2.5インチHDDを採用しています。Let's Noteのスペックが一番好感触でした。
メモリが2GB積めず、キーは正方形ではないです。製品には文句無いのですが、将来Let's Noteを使うだろうことが容易に予想できたので、別の製品を選びました。

VAIOはメモリが2GBまで積めます。あとギガビットイーサが使えます。3機種中最軽量なのと、天板が平らで持ち運びがスムーズにできるデザインが一番の魅力です。
CPUがCore Soloで、HDDが1.8インチなのでかなり遅そうです。これは大きなマイナスポイント…。それとキーが正方形ではありません。

VersaProがボンネット構造をやめるか、VAIOのHDDが2.5インチだったらパーフェクトだったんだけど、どのマシンも限界ギリギリまで作りこんでるから簡単には行かないんだろうなあ。

私も含めて日本人は軽くて小さいPCが大好きなので、メーカーさん、これからも頑張ってください。

編集者:すずき(2007/02/28 01:36)

コメント一覧

  • hdkさん(2007/03/01 00:03)
    HDD 1.8 インチで Core Solo でも、研究室で使ってた Pentium 4 デスクトップより十分速いから心配ないですよw
  • すずきさん(2007/03/01 10:03)
    Pentium 4 は Core はもちろんのこと、Pentium M にすら敗北してるからねー。
    少なくともHDDは遅い気がするなあ。
open/close この記事にコメントする



link もっと前
2007年3月9日 >>> 2007年2月28日
link もっと後

管理用メニュー

link 記事を新規作成

<2007>
<<<03>>>
----123
45678910
11121314151617
18192021222324
25262728293031

最近のコメント5件

  • link 24年10月1日
    すずきさん (10/06 03:41)
    「xrdpで十分動作しているので、Wayl...」
  • link 24年10月1日
    hdkさん (10/03 19:05)
    「GNOMEをお使いでしたら今はWayla...」
  • link 24年10月1日
    すずきさん (10/03 10:12)
    「私は逆にVNCサーバーに繋ぐ使い方をした...」
  • link 24年10月1日
    hdkさん (10/03 08:30)
    「おー、面白いですね。xrdpはすでに立ち...」
  • link 14年6月13日
    2048player...さん (09/26 01:04)
    「最後に、この式を出すのに紙4枚(A4)も...」

最近の記事3件

  • link 24年10月28日
    すずき (10/30 23:49)
    「[Linuxからリモートデスクトップ] 目次: Linux開発用のLinuxマシンの画面を見るにはいろいろな手段がありますが、...」
  • link 23年4月10日
    すずき (10/30 23:46)
    「[Linux - まとめリンク] 目次: Linux関係の深いまとめリンク。目次: RISC-V目次: ROCK64/ROCK...」
  • link 24年10月24日
    すずき (10/25 02:35)
    「[ONKYOからM-AUDIOのUSB DACへ] 目次: PCかれこれ10年以上(2013年3月16日の日記参照)活躍してく...」
link もっとみる

こんてんつ

open/close wiki
open/close Linux JM
open/close Java API

過去の日記

open/close 2002年
open/close 2003年
open/close 2004年
open/close 2005年
open/close 2006年
open/close 2007年
open/close 2008年
open/close 2009年
open/close 2010年
open/close 2011年
open/close 2012年
open/close 2013年
open/close 2014年
open/close 2015年
open/close 2016年
open/close 2017年
open/close 2018年
open/close 2019年
open/close 2020年
open/close 2021年
open/close 2022年
open/close 2023年
open/close 2024年
open/close 過去日記について

その他の情報

open/close アクセス統計
open/close サーバ一覧
open/close サイトの情報

合計:  counter total
本日:  counter today

link About www.katsuster.net
RDFファイル RSS 1.0

最終更新: 10/30 23:49