5ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

寺元166

1 :[名無し]さん(bin+cue).rar:2006/03/30(木) 23:13:07 ID:tRDu3DPs0
/ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
| ここはWinnyの中継転送で知らずにキャッシュに溜まっていたエロゲに関する退避スレです。
| 違法ファイルに関する情報交換等してdownしないように無視リストに入れて
| 違法ファイルの拡散を抑止するためのスレです。
| みなさんも違法ファイルが知らずにキャッシュに溜まらないように
| チェックし、もし溜まっていたら削除するようにこのスレで晒していきましょう。
| 質問する場合はまず極力調べた上で、マナーを守って質問してください。
| テンプレに載っている、あまりに基本的、スレ違いな糞質問は徹底放置。
| 無意味かつ無駄なAAをむやみに貼らないでください。
| ★基本的にsage進行でお願いします。発言する時は E-mail 欄に「sage」{半角で}と入力してください。
\______________________________
  {{ |  | レ'! ヽ\_\,,-,‐-.|
  l l l  | | |/Tハ    |::f;;}|| 
   !ヽN |、 | !` l:リ}     ‐'‐'.|  
      `!ヽN ヽ" `ー    .| 
      | | | `i - ..,.. '´''.|
寺元165
http://tmp6.2ch.net/test/read.cgi/download/1143136432/
テンプレは2以降

661 :[名無し]さん(bin+cue).rar:2006/04/03(月) 08:23:57 ID:fdRBXsz30
※マルウェアにひっかからないためのNoCDパッチのマメ知識
正しいものはほぼ以下の4パターンに分類される

(1) wdiff patch (最も数が多い) ttp://www.vector.co.jp/soft/win95/util/se057654.html

サイズはパッチバイト数が少なければ21KB程度、圧縮して12KB程度が多い
$5200から "Diff" の文字列、その下にパッチ対象ファイル名がある

(2) udm patch (ごくたまに) ttp://www.vector.co.jp/soft/win95/util/se284349.html

サイズはパッチバイト数が少なければ172KB程度、圧縮して87KB程度
$2A000から "UDM" の文字列、その下にもパッチに関連する文字列が続く

(3) 書き換えたゲームの実行ファイルがそのまま入っている場合

パッチプログラムではなくゲームフォルダ内同名ファイルに上書きするタイプ
海外にあるパッチはほとんどこれ
当然ゲームの実行ファイルとファイル名、アイコン、バージョン情報等が同じである
サイズは元が圧縮されているものを展開しているパターンもあってまちまちだが
元ファイルよりも小さくなることはまず有り得ない

本物かの判断にはエディタ、ビュワー等で開いて中にゲームのタイトルやエラーメッセージ等、
そのゲームに使われる文字列が入っているかを確認する方法が有効

(4) 独自のパッチプログラム

最近ではつ神が良くやっているメモリパッチ形式等完全独自のタイプ
海外にもNoCD Loaderなどという名称でたまに存在する

サイズが10KB以下等ものすごくコンパクトになっていることがほとんど
少なくとも必ず起動するゲーム実行ファイル名が含まれているので
(3)と同様文字列で判断する方法も有効

662 :[名無し]さん(bin+cue).rar:2006/04/03(月) 08:24:38 ID:fdRBXsz30
逆に怪しいパターンもいくつか

(1) パッチプログラムなのに圧縮サイズが100KBを越えている

wdiff、udm等のパッチプログラムならばパッチするバイト数が相当増えない限り
圧縮したパッチが100KBを越えることはなく、NoCD程度でそんなことはほぼ有り得ない

(2) 中に怪しげな文字列が入っている

Winny、Share、あるいはゲームとは全然関係のないメッセージや顔文字、URL等の
文字列が確認できる場合は贋物確定
文字列はUNICODEで入っている場合が多いので文字コードを変更して表示もできるビュワー等で見るのが有効

(3) UPX等実行ファイル圧縮がされている

上記(2)の方法で判断することを難しくするために圧縮されているパターンが多い
圧縮rar/zipファイルと展開後のexeファイルサイズがほぼ同じ場合はまずこのパターン

663 :[名無し]さん(bin+cue).rar:2006/04/03(月) 08:35:03 ID:fdRBXsz30
さらに贋物判定実践例

[NoCD][060331] 愛玩隷嬢〜Doll〜_NODVD.zip KhE4yIobOz 187,773 2a40bde6a959e45231575d7c8237e549

・まず>>662の (1) にひっかかっているのでキーの時点で怪しい

・ダウンロード、展開後のexeサイズを見ると191,488バイト、>>662の(3)に該当

・アイコンはWDiff patchのアイコンになっているが、>>661の(1)、$5200から"Diff"の文字列がない

・UPX圧縮されているので専用ツールで展開すると453,120バイト、仮に>>661の(3)パターンだとしても
 実際の実行ファイル DOLL.EXE 438,272バイトを超えているので有り得ない

・最後にUNICODEが表示できるビュワーで確認すると

ナース肉体改造カルテ
どっこい浪口
幼女とやりたい今日この頃
黒柳徹子の頭の中ってなに入ってるの??
堀内孝雄
白井裕二
モーニング息子。
↑おまえなに言ってんの?
くだらねぇ話しばっかしてんな池沼どもwww

…などという文字列がわんさか出て来るので贋確定

664 :[名無し]さん(bin+cue).rar:2006/04/03(月) 08:40:05 ID:pZxGRS0b0
こういった知識があると逆に作れるんだよな。

665 :[名無し]さん(bin+cue).rar:2006/04/03(月) 08:41:31 ID:fdRBXsz30
ちょいミスった

>>663
・UPX圧縮されているので専用ツールで展開すると453,120バイト、仮に>>661の(3)パターンだとしても
 実際の実行ファイル DOLL.EXE 438,272バイトを超えているので有り得ない

小さくなるのが有り得ないんであって越えているのはあり得ますな
ただしこの場合アイコンもバージョン情報も違うし、
元のDOLL.EXEは元々圧縮されていない(圧縮するとサイズが50%程度まで縮む)ので
展開されて大きくなることも有り得ない、となりま。

230 KB
★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.04.02 2018/11/22 Walang Kapalit ★
FOX ★ DSO(Dynamic Shared Object)