2016年03月

2016年03月17日

NtQueryVirtualMemory を調べてみた

Windows 2003 Server から実装された  QueryWorkingSetEx 関数

 次はこれ、内部的に、ntdll.dll の関数 NtQueryVirtualMemory の第2パラメータを4にしてコールしてるだけなので
Windows 2000に実装できないか調べてみた。

第2引数は MEMORY_INFORMATION_CLASS なのだが、Microsoft の公式ドキュメントだと

typedef enum _MEMORY_INFORMATION_CLASS {
    MemoryBasicInformation
} MEMORY_INFORMATION_CLASS;
としか書いてなくて使い物にならない。

Development | www.reactos.org
{
 MemoryBasicInformation, /* 0 */
 MemoryWorkingSetList, /* 1 */
 MemorySectionName, /* 2 */
 MemoryBasicVlmInformation, /* 3 */
 MemoryWorkingSetExList /* 4 */
} MEMORY_INFORMATION_CLASS;
実際はこんな感じ

NTOSKRNL.EXE を逆アセンブルしてみたところ、

Windows 2000 SP4でサポートしてるのは 0, 1, 2
Windows XP SP3でサポートしてるのは 0, 1, 2, 3
Windows Server 2003 が 0, 1, 2, 3, 4

なので、残念ながら、直接互換コードで拾ってくるのは無理らしい



blackwingcat at 08:30|PermalinkComments(0) | TrackBack(0) このエントリーをはてなブックマークに追加 mixiチェック Share on Tumblr Clip to Evernote Windows全般 | Driver/API

2016年03月16日

ELECOM MF-SU20 の中身

『Windows 10で、USBに入れたおたくのアプリケーションいれたらデータ全部消えるんですが』って言われたんだけど覚えがないので調べてみた

既に外装が半壊してるんでどこのメーカーかわかんなかったんだけど、ELECOM の MF-SU204G だと判明

MF-SU202GBK
MF-SU202GBU
MF-SU202GPN
MF-SU202GWH
MF-SU204GBK
MF-SU204GBU
MF-SU204GPN
MF-SU204GWH
MF-SU208GBK
MF-SU208GBU
MF-SU208GPN
MF-SU208GWH

Amazon.co.jp: ELECOM USBメモリ 超小型 4GB PASSセキュリティ機能付 ブラック MF-SU204G: パソコン・周辺機器
最初はエレコム製の4GB、8GBをそれぞれ違う店で購入しました。
使い始めから8GBのほうがUSB1.0かと思うほど通信速度が極端に遅く、転送中にエクスプローラが頻繁に固まったり、メモリを挿した時の認識も不安定で初期不良かと思い、一度も使わず(総容量5GBほどのファイル移動が完了しない)最初のデータ転送で諦めてしまいました。
4GBのほうは当初問題無かったのですが、2,3回使用後に同様の症状が出ました。接続PCを変えてもUSBポートを変えてもダメ。メーカー推奨の方法でフォーマットしても改善せず、結果的に両方ともまともに実用できる物ではありませんでした。

半年くらいでwin2000で安全な取り外しの工程を行っても、PCがすぐにまたUSBメモリを認識してしまい取り外しが出来ない事態に陥りました。
FAXと電話で何度かメーカーとやり取りしてようやく故障と判断されて、メーカー保障で無料修理となりました。
購入した家電量販店で事情を話し無料修理をお願いしたところ、販売店の好意で売っている新品と交換してもらいました。
ところが交換してもらった新品のUSBメモリも数ヶ月で突然二つのPCで認識できなくなり、記録していたデータはパーになりました。


しかし、実際に使用してみると、使い続けると頻繁にエラーが出ます。
USBポートに数度差し込むと、持ち歩きのカバーがすぐゆるくなり、USBポートを裸で持ち歩くことになります。

Amazon レビューが酷過ぎてワラタ

次に中身を調べてみる

USB\VID_05E3&PID_0727&REV_0250
これは、台湾 Genesys LogicR製 ですね

そう、台湾 ・ω・
あんまり悪い話は聞いたことないけど、安いブランドを採用したって感じかな?

USBの中身見て、System Volume Information を調べてみたら、USBにデータ入れた1か月前のままフォルダが残ってたから、それ以外がすっぱり消えた感じ
データ復元ソフト使っても出てこない。すごく謎

これが、Windows 10 のセキュリティ機能なのか!?(たぶん違う)


blackwingcat at 18:30|PermalinkComments(5) | TrackBack(0) このエントリーをはてなブックマークに追加 mixiチェック Share on Tumblr Clip to Evernote Windows 10 | 周辺機器

VMWarePlayer 3.16でWindows 8を直接動かせることが判明

How to install windows 8 on esxi 4.1 ? | VMware Communities

If you'd like to give it a shot, download the attached file and add the following options to your configuration file:

 

bios440.filename = "<full path to rom image>"

mce.enable = TRUE

cpuid.hypervisor.v0 = FALSE

vmGenCounter.enable = FALSE

VMWareのVMXの定義にBIOS ROMの定義を追加して、ダウンロードしたROMイメージを指定すればいいらしい

vm
ホントだ起動した!

vmw3
起動後の様子

vmw
( ^o^) VMPlayer3でWin8使えるようになった!

( ˘⊖˘) 。o (あ、Windows Upfateやらなきゃ)

|Windows Update| ┗(☋` )┓三

( ◠‿◠ )☛ 165個の更新

▂▅▇█▓▒░(’ω’)░▒▓█▇▅▂うわあああああああ

vmw2
ところで、VMWareToolでネットワークアダプタだけ設定できなかった。

PCI\VEN_1022\DEV_2000\SUBSYS_20001022


AMD Network Driver for XP VMware Client for WinPE3 | Symantec Connect
このドライバ入れたらいけました・ω・



blackwingcat at 08:30|PermalinkComments(1) | TrackBack(0) このエントリーをはてなブックマークに追加 mixiチェック Share on Tumblr Clip to Evernote Windows 8 | 仮想OS/BootCamp

2016年03月15日

巷で話題になってるeLTAX。ザックり解析してみた

高木浩光@自宅の日記 - 治外法権のeLTAX、マルウェア幇助を繰り返す無能業者は責任追及されて廃業に追い込まれよ
話題になってる理由

セキュリティホールの多いJavaの導入が個人情報漏えいの原因になっている

→ Javaやめます

→ なぜか ActiveX を採用

※ ActiveX は IE上でプログラムを実行できるようにできるようにするための技術で、Java以上にセキュリティホールの原因になる技術。

ActiveXのホワイトリストは存在せず、ブラックリストのみでブロックできる。
そのため、特定のActiveXアプリを使うためには、ActiveXを有効にしなくてはいけない。

※そういや、ActiveX管理マネージャーなるものがIE6SP3以降は追加されたんでしたっけ?
Windows 2000以降のOSでIEなんて使わんもんだからすっかり存在を忘れてました・ω・

つまり、Javaより凶悪なセキュリティホールをユーザーに強要しているというわけで絶賛炎上中 ・ω・

注意点としては、アプリそのものにセキュリティホールがあるわけではない点
だから、なんでActiveXじゃダメなのかわかってない人が設計するとこうなる ・ω・;

https://www.eltax.jp/www/contents/1399980039159/index.html (リンク消滅、ただし画像へのリンクは残ってる)

後、致命的なのが、サイトのホワイトリスト追加じゃなくて、インターネット全体にActiveX許可する案内をしていたこと
ax
3/16 9:00時点では修正済み
「XPのIEに存在するマニフェストのあるコンポーネントのアクセス許可」がないので
どう見ても Windows 98 か 2000 の設定ですw。

ax3ax2
参考XPとWin7



あちこちに TOPページへのリンクが https://www.eltax.jp/ になっててリンク切れになってるとか
なぜか、電話番号に  "-"、住所に半角文字入れたら怒られるとか突っ込みどころも多いのだけど

eLTAX 地方税ポータルシステム


<object CLASSID="clsid:FA6F7393-732F-4F03-8868-AC1BD255AFB6"
    CODEBASE="AxeLTAXApplication.CAB#Version=1,0,0,2"
    ID="AxeLTAXApplication" style="display: none"> </object>
問題になってるActiveXがこちら

URLは https://www.portal.eltax.jp/apa/todokede/Application/AxeLTAXApplication.CAB だね

せっかくなので VirusTotal に晒し上げておくよ・ω・

2016年1月27日15:46 に作成された Vista 以降専用バイナリで Visual Studio 2012 Projectとして、開発
ワークスペース名が
C:\jenkins\workspace\Todokede_ActiveXCompile_Job\AxeLTAXApplication\Release\AxeLTAXApplication

となってるので、 jenkins を使って、VC++2012プロジェクトをコンパイルして作ったってことが分かるよ。

XPで動かないようにコンパイルオプション指定してあるようで

ApplicationRecoveryFinished
ApplicationRecoveryInProgress
RegisterApplicationRestart
RegisterApplicationRecoveryCallback
LCMapStringEx
あたりの関数を使ってる(魔改造版Win2000だと動くかもしれないけど、IE6だとJavaScriptがエラー出まくりなのでだめかも)

IsolationAware function called after IsolationAwareCleanup って文字列をデバッガに出力するためだけに
OutputDebugStringA使ってるのが謎だな・・・と思ったら

Microsoft Visual C++ Runtime Library の処理で、OutputDebugStringW使ってることが判明・ω・
IDEのデバッガのログ出力がそのまま残ってるだけらしい。

どうやら、リリース版じゃなくてデバッグ版バイナリみたいだね

文字列ぶっこ抜くと

NEC Secure Ware AES Cryptographic Provider
Melco Standard-9 Enhanced Cryptographic Service Provider
JPKI Crypto Service Provider for Sign
1.2.840.113549.1.1.5 // SHA-1 with RSA Encryption
1.2.840.113549.1.1.11// SHA-256 with RSA Encryption

あたりを使ってるのが分かるよ ・ω・

CMFCVisualManagerOfficeXP/2003
って文字列も出てきて、 Office XP/2003の Visual スタイルを使ってるのも判明、どんだけXP好きなんすか・ω・

ActiveX で本当にいいの?

IEの拡張保護モードを無効化することを強要する脆弱性付きセキュリティソフトをインストールさせる銀行といい、『使わざる得なかった』って見方をするなら『日本人にセキュリティホールのあるソフトを入れさせるとなにか報酬がある』と考えればいいのかな・ω・?


続き:東洋経済のeLTAXの記事がこれじゃない感



blackwingcat at 12:30|PermalinkComments(5) | TrackBack(0) このエントリーをはてなブックマークに追加 mixiチェック Share on Tumblr Clip to Evernote Security | 時事NEWS

Windows 2000拡張カーネル v2.6d リリース

Windows 2000 Kernel32 改造計画【BM】

DropBox 3.12/3.14/3.16の調子がまだ悪いというので、調べてみたのですが

 L10003097:
          mov    esi,[KERNEL32.dll!LoadLibraryA]
          push    SSZ1000A10C_ntdll_dll
          call    esi
          mov    ebx,[KERNEL32.dll!GetProcAddress]
          mov    ebp,eax
          push    SSZ1000A118_RtlIpv4AddressToStringA
          push    ebp
          call    ebx
          push    SSZ1000A130_RtlIpv6AddressToStringA
          push    ebp
          mov    [esp+50h],eax
          call    ebx
          push    SSZ1000A148_iphlpapi_dll
          mov    [esp+48h],eax
          call    esi
          mov    edi,eax
          push    SSZ1000A158_GetExtendedTcpTable
          push    edi
          call    ebx
          push    SSZ1000A16C_GetExtendedUdpTable
          push    edi
          mov    [esp+34h],eax
          call    ebx
          mov    esi,[KERNEL32.dll!FreeLibrary]
psutil._psutil_windows.pyd って、古いOS用にRtlIpv4AddressToStringA などを遅延ロードして処理してるんですが、その後チェックせずに、NULLポインタをコールするようにしたため、クラッシュ→catchで処理。しかし想定してない場所でのtry/catchなので処理できず無限ループしてることが判明。

誰だよ、こんなひどいコード書いたの・ω・;

とりあえず、足りない関数実装して回避してみたけど。
なんだかなぁ・・・。


コメントより
// Import some functions.
{
HMODULE ntdll;
HMODULE iphlpapi;
ntdll = LoadLibrary(TEXT("ntdll.dll"));
rtlIpv4AddressToStringA = (_RtlIpv4AddressToStringA)GetProcAddress(
ntdll, "RtlIpv4AddressToStringA");
rtlIpv6AddressToStringA = (_RtlIpv6AddressToStringA)GetProcAddress(
ntdll, "RtlIpv6AddressToStringA");
/* TODO: Check these two function pointers */

iphlpapi = LoadLibrary(TEXT("iphlpapi.dll"));
getExtendedTcpTable = (_GetExtendedTcpTable)GetProcAddress(iphlpapi,
"GetExtendedTcpTable");
getExtendedUdpTable = (_GetExtendedUdpTable)GetProcAddress(iphlpapi,
"GetExtendedUdpTable");
FreeLibrary(ntdll);
FreeLibrary(iphlpapi);
}
どう見てもTODOですありがとうございます・ω・


blackwingcat at 08:30|PermalinkComments(2) | TrackBack(0) このエントリーをはてなブックマークに追加 mixiチェック Share on Tumblr Clip to Evernote Win2000拡張カーネル 

2016年03月14日

国内銀行おすすめのスマホ向けセキュリティソフトを作ってる第三の韓国メーカーの技術レベルが微妙な件

SaAT Netizen を導入推奨しているほとんどの銀行が、スマートフォン向けのセキュリティソフトとして
Secure Starter ってのを薦めてるので気になって調べてみた。


利用規約|横浜銀行 Secure Starter セキュアスターター スマートフォンからセキュアで安全なアクセスを。スマートフォン用アプリ
本アプリの原著作権は、開発元であるネットムーブ株式会社(以下「当社」という)とNSHC SECURITYに帰属します。
NSHC Security という新しい会社名が出てきた。

NSHC Co.Ltd | LinkedIn
どうも、韓国ではそこそこ有名なセキュリティ会社みたいだけど、日本はなじみがない
(といっても、数十人しか社員のいない、ごく小さいセキュリティ会社の様だ)

Safe-Square KeyPad: スマートフォン用の入力セキュリティソリューション
このソフトの開発元が NSHC のようだ。

KOTRA - 大韓貿易投資振興公社 東京IT支援センター
NSHC(セキュリティ)
スマホ用セキュリティソフト、モバイルゲームハッキング防止、アプリの難読化と改ざん防止

|。・ω・) 。o (ほー、難読化かぁ・・・)
というわけで、どの程度の難読化が施されてるのか、Secure Starter を解析してみてみることにした

続きを読む

blackwingcat at 18:30|PermalinkComments(3) | TrackBack(0) このエントリーをはてなブックマークに追加 mixiチェック Share on Tumblr Clip to Evernote Security | 韓国・中国製ソフト
livedoor プロフィール
My PC
SNOWSTORM(P5E3 Premium)
OS:Win2000AdvancedSv
CPU:Xeon(4Core) 2.83G
Memory:8G
VGA:NVIDIA GTX 780Ti
HDD:SSD(32G)
    +SATA(540G+180G)
Crystal SCR:244765
SNOWFOX2(W860CU)
CPU:Core i5-540M(2.53G)
OS:Win2000Pro
Memory:4G
VGA:Geforce GTX285M
HDD:SSD(160G)
Crystal SCR:176460
SNOWMOBILE3(CF-J10S)
CPU:Core i5-2410M(2.3G)
VGA:Intel HD Graphics
HDD:SSD(128G)
Windows2000
Memory:6G
Crystal SCR:133495
SNOWMOBILE(N10Jc/故障)
Windows2000/XP Home
Crystal SCR:38316
SNOWLEO(MA206J/A/休止)
OS:OSX 10.4 +
Windows2000Pro(Solo動作)
Crystal SCR:24061
Windows 2000の セキュリティ対策について
FFR yarai(脆弱性防御)
SymantecEndpointSecurity 11 MR7
Windows Defender
記事検索
訪問者数

    今週のアクセス数

    Win2000お勧め
    お勧め記事
    Twitter Client Mo-Footer
    .NET FrameworkのUninstall
    lolifox 0.3.8.x
    WindowsのシャットダウンTips
    Fox Launcher
    ウィルス感染を手動で見つける方法
    Unknown Hard Errorとサルベージ
    Dependency Walker 日本語化
    Ultra VNC 1.0.6/1.0.8 を日本語化
    IME補完計画
    BSoD(ブルースクリーン)特集
    デフラグ時の4つの心得
    不明なデバイス探し
    SETUPAPI/NTDLLBugFix
    DNSデボルブ用更新[KB957579]
    最新 update.sys!
    4Thread以上のCPU最適化
    Win2000マルチコアで最適化
    Windows 2000の通信速度改善1
    Windows 2000の通信速度改善2
    内蔵簡易FireWallを使う
    ワームに感染しないインストール
    Remote Desktop Client
    IME 辞書 Tips
    Win2000用セキュリティSOFT
    不要なファイルの削除
    Win2000カスタマイズ
    便利なキーボードショートカット
    6月末まで使える体験版セキュリティ

    非対応ハード動作編
    HTC NDIS Driver
    Intel HD Graphic Driver
    VMWare Player 3.1.x
    Conexant HD Audio Driver
    NVIDIA WHQL Driver
    Intel Chipset 最新 INF
    Sentelic Finger Pad Driver
    ATI Legacy Driver 10.2
    AMD Radeon Driver 8〜11
    ATI Ahci/Raid Driver
    Intel SATA AHCI Driver
    D21LC(eMobile)
    USB-WSIM
    UVC カメラ
    Logicool Webcam
    Logicool ゲームパッド
    XBOX360用コントローラー
    Logicool Mouse
    Microsoft IntelliPoint
    iPod Touch/iPhone Driver

    非対応アプリ動作編
    Flash Player 10.3
    Java 6 JRE
    Java 7.0 JRE
    ティルズウィーバー
    Natal Online
    コンチェルトゲートフォルテ
    シルクロードオンライン
    東方幻想麻雀
    IME2010 Installer
    Adobe Reader X for Win2000
    Baidu IME 2.x
    MMORPG ドルアーガーの塔
    Adobe Air for Windows 2000
    Baidu IME
    iTunes 10.x installer
    Evernote 4
    Janetter
    Second Life
    雀龍門
    Media Manager for PSP 2.5a
    .NET Framework 3.5SP1
    ATOK 月額版(2010/2011)
    Leaf 愛佳でいくの!!
    VistaのScreenSaver
    会計ソフト弥生シリーズ 10
    Vegas Movie Studio 9
    EyeBall Chat
    ・CanonPowerShot[Soft/DPP]
    Google SketchUp Pro 7
    dance mixer
    Lismo Port
    DivX
    SONY ScreenSaver
    mixi アプリ
    DivX v7.x
    ニコニコムービーメーカー(動画)
    RC-S330 PaSoRi
    Finale 2009
    ZoneAlarm 8.0
    ルナティア Online
    ストリートギアーズ
    xfy Blog Editor
    Photoshop Elements 7
    Premiere Elements 7
    PowerShell 1.0
    ai sp@ce
    電脳フィギュアARis
    VOCALOID2 ミク・リンレン
    Google Chrome/SRW Iron
    Media Player 10
    ・iTunes 7.6.2を使う方法
    QuickTime 7.5x/7.6x
    foobar2000 9.5.x/9.6.x
    RealPlayer11
    Safari3/4.0
    ShockwavePlayer10/11
    Windows Live Writer
    Live Messenger
    Veoh Web Player / Web TV
    Level-R

    追加機能・カスタマイズ編
    W2K Kernel32 改造計画【BM】
    W2K Update Rollup v2
    XNA/SlimDX
    CPU Core数リミット解除
    OutLook Express 6SP3
    MDAC 2.8 SP2
    GIF/PNGを使えるMSPAINT
    IE5でWindowsUpdate
    MSXML 4.0SP3
    DirectX9.0c(2010/Feb)+拡張
    MS09-062(Gdiplus.dll)更新
    Unicode 制御文字
    Internet Explorer6 Bonus Pack
    夏時間(DaylightSavingTime)
    レジストリバックアップを取る
    IME2007
    Windows Media Bonus Pack
    XPSファイルビューア
    Windows Defender
    文字化け対策(FontLink)
    Meirio(KB927489)
    msconfig
    圧縮フォルダ
    Windows Movie Maker
    IE5.01/5.5/6タブ化
    MediaTypeChanger(EISA構成)
    Win2000 SP4 Support Tool
    kill/tlist with Debugging Tools
    sc.exe with Resource kit
    reg.exe
    TaskTray 256色化
    ISO仮想CD/DVDドライバ
    IE6高速化とWSH 5.7/5.8
    MS Baseline Security Analyzer
    音声認識 API 5.1
    Text Service

    Win2000インストール編
    CF-J10S
    N10Jc
    ThinkPad X200(7454)
    Quad Core/X48/P5E3
    VAIO VGN Type S
    E6850搭載 サポートPC
    Let'snote CF-R6
    MacMini
    Dell LATITUDE D630
    Core i7 + X58 +ICH10R
    790FX + SB750
    Clevo W860CU
    最新コメント
    Categories
    アーカイブ
    Information
    Google広告




    Translate


    このサイトはIE5.x/IE6
    IE5.x Internet Explorer 6.x

    Firefox Firefox ブラウザ無料ダウンロード
    で最適化されています。
    Technorati
    Add to iGoogle
    Amazon GIFTでカンパ

    Donation