コグノスケ


link 未来から過去へ表示  link 過去から未来へ表示(*)

link もっと前
2008年11月7日 >>> 2008年11月16日
link もっと後

2008年11月9日

大幅変更?

以前の日記(2008年11月1日の日記参照)で書きましたが、先週くらいにラテールのプロテクトが変更されました。

起動時のスプラッシュ画面もタスクトレイのアイコンも出なくなり、だんまりな仕様に変更されたのかと思いきや、そもそもGameGuardではないようです。怪しいドライバを入れるrootkitに変わりはないんですが。

新プロテクトのメインとなるのはGPP.DLLです。このファイルはご丁寧にクレジットが入っていまして、製造元はGamepot Inc. だそうです。Gamepotがどこかに頼んで作ったのでしょうかねえ?以降はGamepotプロテクトとでも呼びましょう。

優しさが増した

おなじみGameGuardはかなり強烈でして、プロセスの隠蔽は当然のこと、キーボードやマウスの入力も奪い、入力をエミュレートするソフト(※1)を無効化します。攻撃機能も激しくて、カーネルデバッガを動かしたり、プロセス隠蔽を解除しようとすると強制リセットをかましてきます。

一方Gamepotプロテクトはかなり穏やかです。少なくとも強制リセットだとか、全プロセスにフックなどという乱暴なことはしません。

(※1)ただしJoyToKeyは通常動作します。GameGuardのホワイトリストに入っているのでしょうか。

甘くなった

GameGuardはカーネル内のEPROCESS構造体(プロセスの情報を格納する構造体。双方向リンクリストで繋がっている)を変更して、プロセス一覧からゲームプロセスとGameGuardプロセスを隠していました。
その他にも複雑なことをやっていると思いますが、その辺は理解できていません。

一方GamepotプロテクトはEPROCESS構造体を変更しません。カーネルモードでEPROCESS構造体を辿るプログラムを書くと、簡単に見えます。

ラテールのプロセスIDを起動時と異なる値に書き換えてやると、タスクマネージャなどから見えてしまいます(※2)。おそらく (システムコールに渡されたPID) == (ラテールのPID) だったら弾いている?ってところでしょうか。

問題はどこで弾いているかですが、ぱっと見ではわかりませんでした。ありがちなSSDT(System Service Descriptor Table)はいじっていないようです。ntoskrnl.exeにライブパッチでも当てているのでしょうかね…。

GameGuardは重い&ウザいですが、突破は難しそうな感じでした。新プロテクトは優しいですが、私ですらなんとかなってしまいそうな弱さです。こんな程度ならいっそつけなくても良いんじゃないかなあ?

(※2)PIDを変えたまま遊ぶとサーバへの接続が切り替わる時にハングします。なぜなのかはよくわからんです。

編集者:すずき(2008/12/08 21:11)

コメント一覧

  • コメントはありません。
open/close この記事にコメントする



2008年11月10日

偉そうなことを書いたけど

昨日の日記でラテールの新プロテクトが甘くなったという話の後、俺でも解けそう…と偉そうなことを書きましたが、やっぱ無理。現実はそう甘くない。

そういえば一つ気づいた点がありました。昨日ちらっと言ったように、プロセス構造体を列挙する自作ドライバを作るとゲームのPIDが得られます(※)。OpenProcessで取得したPIDを開こうとすると弾かれますが、アクセス権限をPROCESS_TERMINATEに限ると開けます。

TERMINATE権限の名の通りプロセスの終了しかできません。ゲームがハングしたときの対策でしょうね、たぶん。

プロテクトの話ってネットで見かけません。あまり書くとよろしくないんだろうか?

(※)実はKaspersky先生が何かしてくれているおかげで偶然取れているだけかもしれません。素のWindows XPでやったことがないので何とも。

編集者:すずき(2008/11/11 00:48)

コメント一覧

  • fezさん(2009/03/09 17:50)
    GPP.dllってnproより難しいんでない?
    とりあえずnpro置換みたいな方法とれると思うから所期のGPPを保存しておいたほうがいい
    と言ってみた
  • すずきさん(2009/03/11 01:45)
    >fez さん
    >GPP.dllってnproより難しいんでない?
    解除の難しさは人によりけりですが、私にとっては nProtect の方が難しいです。
    後日のトライで GPP.dll は一応外せましたが、同様の方法では nProtect は外せなかったためです。

    >とりあえずnpro置換みたいな方法とれると思うから所期のGPPを保存しておいたほうがいい
    npro 置換?という方法がわからず、初期の GPP.dll も持っていません。
    せっかくアドバイスいただきましたが、こちらでは試せそうにないです。
open/close この記事にコメントする



2008年11月14日

電池

携帯の電池が限界を迎えつつあるのは知っていました。交換しに行くのが面倒なので、今までだましだまし使ってきました。しかしそれももはや限界です。

ついに通話5分で電池が切れるようになってしまった。ネットやiアプリはさらにひどく、2〜3ページ見ると電源が落ちて黒画面になる…。メールは意外と省エネで10通以上行けそう。

電池もお餅みたいになっていて、携帯の電池カバーがなかなか閉まりません。いい加減、電池換えるかー。

編集者:すずき(2008/11/19 00:41)

コメント一覧

  • コメントはありません。
open/close この記事にコメントする



2008年11月15日

京都御所

大下さんと京都御所の一般公開に行ってきました。


牛車

中に入る前に荷物チェックがあるのですが、服の内側やポケットの中までは見ないようです。手荷物検査のテントに手ぶらでプラーっと近寄っていったら、一瞬で「はい次の方、どうぞ。」って、スルーされちゃいました。


新御車寄(しんみくるまよせ)

京都は外人と着物の人とお年寄りが多いですが、京都御所は特におじいちゃん、おばあちゃん率が異常に高いです。

お年寄りの皆さん(天皇陛下万歳の世代?)はどことなく楽しそうでした。京都御所は天皇陛下のお家なので、言ってみれば、あこがれのスターのお家を見るようなもんですね。


後ろ姿

正面から写真を撮ろうとしたら大下さんに逃げられたので、後ろから撮りました。大下さんは自分で着物を着られるのです。若い人で着物の着付けができるというのはすごいです。わたしにゃ無理です。

呉服店に勤めていて職業柄着付けは必須なんです…って人は例外として、趣味&習い事で覚えちゃうんだから、よっぽど着物好きなんだねえ。


中庭

天皇のお家だけあって、庭がめちゃくちゃ立派です。木も水も岩も何でももってこいや!!って感じのにぎやかな庭です。

結婚祝い

会社の同期で集まってN氏の結婚祝いをしました。奥さんを連れてきてくれました。奥さんと僕らは初対面なので、見知った顔が次々と自己紹介をするという、なんとも不思議な飲み会でした。

お祝いにSena氏が買ってきてくれた二段重ねのケーキは、立派です。見た目の通り、かなり食べ応えもありました。もうしばらくケーキはいらない…。

編集者:すずき(2008/12/08 22:22)

コメント一覧

  • コメントはありません。
open/close この記事にコメントする



2008年11月16日

電池交換

昨日の京都御所からの帰り道、ドコモショップを見かけたので携帯の電池を換えてもらいました。入ってみると客は自分と大下さんの2人だけでした。

郵便局か銀行のように、カウンターの前に番号札を発行する機械がある店でした。どのボタンを押すべきかわからん。ふと横を見ると店員さんがめっちゃこっち見てる…。

そのままボタンを押さず立っていたら店員さんに話しかけられました。で、お餅になった電池を見せました。見るとすぐさま「故障ですねっ」と言って「故障対応ボタン」をペシっと。これ故障なの…?

店には自分一人しかいないので、そのままカウンターへ。バッテリーチェックした後、修理対応の人が出てきて調べますって…。結局、単なる経年劣化(故障ではない)だったとのこと。でも購入から2年以上経っているのでタダで取り替えてくれました。

そういえば交換作業の合間に別の客が1人来ましたが、やはり店はガラッガラでした。土曜の昼ってこんなもんなのか?

編集者:すずき(2008/11/19 01:10)

コメント一覧

  • ママさん(2008/11/19 14:57)
    お餅が電池って???
    あ、反対か。

    私のは、まだ元気そうだけど、ときどき裏ぶた開けてみたほうがいいの?
  • すずきさん(2008/11/19 19:30)
    蓋を無くすとか壊すのも面白くないですし、携帯に目立った異常がないなら開けなくても良いと思います。
open/close この記事にコメントする



link もっと前
2008年11月7日 >>> 2008年11月16日
link もっと後

管理用メニュー

link 記事を新規作成

<2008>
<<<11>>>
------1
2345678
9101112131415
16171819202122
23242526272829
30------

最近のコメント5件

  • link 24年10月1日
    すずきさん (10/06 03:41)
    「xrdpで十分動作しているので、Wayl...」
  • link 24年10月1日
    hdkさん (10/03 19:05)
    「GNOMEをお使いでしたら今はWayla...」
  • link 24年10月1日
    すずきさん (10/03 10:12)
    「私は逆にVNCサーバーに繋ぐ使い方をした...」
  • link 24年10月1日
    hdkさん (10/03 08:30)
    「おー、面白いですね。xrdpはすでに立ち...」
  • link 14年6月13日
    2048player...さん (09/26 01:04)
    「最後に、この式を出すのに紙4枚(A4)も...」

最近の記事3件

  • link 24年10月28日
    すずき (10/30 23:49)
    「[Linuxからリモートデスクトップ] 目次: Linux開発用のLinuxマシンの画面を見るにはいろいろな手段がありますが、...」
  • link 23年4月10日
    すずき (10/30 23:46)
    「[Linux - まとめリンク] 目次: Linux関係の深いまとめリンク。目次: RISC-V目次: ROCK64/ROCK...」
  • link 24年10月24日
    すずき (10/25 02:35)
    「[ONKYOからM-AUDIOのUSB DACへ] 目次: PCかれこれ10年以上(2013年3月16日の日記参照)活躍してく...」
link もっとみる

こんてんつ

open/close wiki
open/close Linux JM
open/close Java API

過去の日記

open/close 2002年
open/close 2003年
open/close 2004年
open/close 2005年
open/close 2006年
open/close 2007年
open/close 2008年
open/close 2009年
open/close 2010年
open/close 2011年
open/close 2012年
open/close 2013年
open/close 2014年
open/close 2015年
open/close 2016年
open/close 2017年
open/close 2018年
open/close 2019年
open/close 2020年
open/close 2021年
open/close 2022年
open/close 2023年
open/close 2024年
open/close 過去日記について

その他の情報

open/close アクセス統計
open/close サーバ一覧
open/close サイトの情報

合計:  counter total
本日:  counter today

link About www.katsuster.net
RDFファイル RSS 1.0

最終更新: 10/30 23:49