06/04/03 08:23:57 fdRBXsz30
※マルウェアにひっかからないためのNoCDパッチのマメ知識
正しいものはほぼ以下の4パターンに分類される
(1) wdiff patch (最も数が多い) URLリンク(www.vector.co.jp)
サイズはパッチバイト数が少なければ21KB程度、圧縮して12KB程度が多い
$5200から "Diff" の文字列、その下にパッチ対象ファイル名がある
(2) udm patch (ごくたまに) URLリンク(www.vector.co.jp)
サイズはパッチバイト数が少なければ172KB程度、圧縮して87KB程度
$2A000から "UDM" の文字列、その下にもパッチに関連する文字列が続く
(3) 書き換えたゲームの実行ファイルがそのまま入っている場合
パッチプログラムではなくゲームフォルダ内同名ファイルに上書きするタイプ
海外にあるパッチはほとんどこれ
当然ゲームの実行ファイルとファイル名、アイコン、バージョン情報等が同じである
サイズは元が圧縮されているものを展開しているパターンもあってまちまちだが
元ファイルよりも小さくなることはまず有り得ない
本物かの判断にはエディタ、ビュワー等で開いて中にゲームのタイトルやエラーメッセージ等、
そのゲームに使われる文字列が入っているかを確認する方法が有効
(4) 独自のパッチプログラム
最近ではつ神が良くやっているメモリパッチ形式等完全独自のタイプ
海外にもNoCD Loaderなどという名称でたまに存在する
サイズが10KB以下等ものすごくコンパクトになっていることがほとんど
少なくとも必ず起動するゲーム実行ファイル名が含まれているので
(3)と同様文字列で判断する方法も有効
662:[名無し]さん(bin+cue).rar
06/04/03 08:24:38 fdRBXsz30
逆に怪しいパターンもいくつか
(1) パッチプログラムなのに圧縮サイズが100KBを越えている
wdiff、udm等のパッチプログラムならばパッチするバイト数が相当増えない限り
圧縮したパッチが100KBを越えることはなく、NoCD程度でそんなことはほぼ有り得ない
(2) 中に怪しげな文字列が入っている
Winny、Share、あるいはゲームとは全然関係のないメッセージや顔文字、URL等の
文字列が確認できる場合は贋物確定
文字列はUNICODEで入っている場合が多いので文字コードを変更して表示もできるビュワー等で見るのが有効
(3) UPX等実行ファイル圧縮がされている
上記(2)の方法で判断することを難しくするために圧縮されているパターンが多い
圧縮rar/zipファイルと展開後のexeファイルサイズがほぼ同じ場合はまずこのパターン
663:[名無し]さん(bin+cue).rar
06/04/03 08:35:03 fdRBXsz30
さらに贋物判定実践例
[NoCD][060331] 愛玩隷嬢~Doll~_NODVD.zip KhE4yIobOz 187,773 2a40bde6a959e45231575d7c8237e549
・まず>>662の (1) にひっかかっているのでキーの時点で怪しい
・ダウンロード、展開後のexeサイズを見ると191,488バイト、>>662の(3)に該当
・アイコンはWDiff patchのアイコンになっているが、>>661の(1)、$5200から"Diff"の文字列がない
・UPX圧縮されているので専用ツールで展開すると453,120バイト、仮に>>661の(3)パターンだとしても
実際の実行ファイル DOLL.EXE 438,272バイトを超えているので有り得ない
・最後にUNICODEが表示できるビュワーで確認すると
ナース肉体改造カルテ
どっこい浪口
幼女とやりたい今日この頃
黒柳徹子の頭の中ってなに入ってるの??
堀内孝雄
白井裕二
モーニング息子。
↑おまえなに言ってんの?
くだらねぇ話しばっかしてんな池沼どもwww
…などという文字列がわんさか出て来るので贋確定
664:[名無し]さん(bin+cue).rar
06/04/03 08:40:05 pZxGRS0b0
こういった知識があると逆に作れるんだよな。
665:[名無し]さん(bin+cue).rar
06/04/03 08:41:31 fdRBXsz30
ちょいミスった
>>663の
・UPX圧縮されているので専用ツールで展開すると453,120バイト、仮に>>661の(3)パターンだとしても
実際の実行ファイル DOLL.EXE 438,272バイトを超えているので有り得ない
小さくなるのが有り得ないんであって越えているのはあり得ますな
ただしこの場合アイコンもバージョン情報も違うし、
元のDOLL.EXEは元々圧縮されていない(圧縮するとサイズが50%程度まで縮む)ので
展開されて大きくなることも有り得ない、となりま。
666:[名無し]さん(bin+cue).rar
06/04/03 09:19:40 vivZFcNC0
>>660
報告thx
>>661->>663、>>665
ぜんぜん知らなかったから勉強になりましたthx