PEダンパー/PEエディタ

概要と基本操作

●概要

「PEファイル」とは、EXEファイルやDLLファイルなど、WindowsOSにおいて一般的に使用される実行可能ファイルのフォーマットを指します。この補助ツールは、プロセス実行中にプロセスメモリ上からPEファイルをダンプしたり、PEファイルのヘッダなどに格納された各種設定の参照や変更を行うことができます。

主な用途としてマルウェアの解析やアンパックの補助を想定しています。

●基本操作

起動後まず表示されるのは「PEダンパー」の画面です。ダイアログ右最上部にあるリストビューに表示されるプロセス一覧上でプロセスを選択すると、そのプロセスで使用されているモジュールを、プロセス一覧の下にあるリストビューに一覧表示します。このモジュールの一覧上で特定のモジュールを選択すると、そのモジュールに関する情報を右下部のエディットボックスに表示し、また、そのモジュールに対するPEファイルの解析といった操作が可能になります。なお、プロセス選択時には、モジュール一覧上でプロセスのメインモジュール(一般的にはEXEファイル)を自動で選択するようにしています。
「PEエディタを起動して編集」ボタンを押すと、選択されたモジュール、あるいは別途モジュールを指定してPEファイルの解析や編集を行う「PEエディタ」の画面に切り替わります。この際、ラジオボタンの[モジュールのコピー]を選択していると、選択されたモジュールがあるフォルダにコピーを作成し、そのコピーをPEエディタでオープンします。モジュール一覧で対象PEファイルを指定する必要がない場合は、ラジオボタンは初期設定の[モジュール指定なし]のままで「PEエディタを起動して編集」ボタンを押します。
PEエディタでは、ダイアログ左上部にあるツリービューでカテゴリを選択し、そのカテゴリに応じた操作を行います。
PEダンパー・PEエディタともに、対象PEファイルをうさみみハリケーンで連携して解析できる機能を実装しています。うさみみハリケーンはマルウェアによる乗っ取り対策としてEXEファイル名の変更を推奨していますので、うさみみハリケーンのEXEファイル名をコンボボックスで指定してから[うさみみハリケーンで解析]ボタン(PEダンパー)、[解析対象を起動して解析開始]ボタン(PEエディタ)を押します。
必要に応じ、対象PEファイルに対するエクスプローラのコンテキストメニューを表示して、さらに別の解析ツールなどに対象PEファイルを渡すことも可能です。

機能補足と基本注意事項

●PEファイル編集機能

PEエディタでの書き換え内容によっては、対象PEファイルが起動できなくなる可能性があります。そのため、このような事態に備えて対象PEファイルのバックアップを作成することをお奨めします。
すでに起動されているPEファイルは読み取り専用モードでしかオープンできません。他のプロセスでオープンされているPEファイルも基本的に読み取り専用モードでオープンします。
このPEエディタは、64ビット版のPEファイルには対応していません。そのため、このPEエディタでいったん64ビット版PEファイルのフラグ(IA64/AMD64)を立ててファイルを保存してしまうと、元に戻せなくなります。

●PEiD

ファイルアナライザのPEiDを同梱したPEiDLL.DLLを使用することにより、対象PEファイルのパッカー情報やコンパイラの情報を取得、表示します。BoB氏によるPEiDLL.DLLの製作・配布はPEiD製作者側も了解しているため、著作権等の問題は無いと判断しました。
PEiD.DLLは使用時にPEiDをテンポラリフォルダに一時的に展開して実行します。この処理に対し、一部のセキュリティソフトがサンドボックス機能やコードエミュレーション機能を適用することにより、処理速度が極端に低下することがあります。このような場合はセキュリティソフトの設定変更で対処してください。また、PEiDのチェックボックスをオフにすれば、PEiDが行う処理をスキップします。
PEiDは同梱のデータベースファイル「UserDB.txt」を参照するように設定しています。ネット上で配布されているこのデータベースファイルをより新しくより大きなサイズのものに更新することで、より多くのパッカーやコンパイラの判別が可能になります。
PEiDLL.DLLは、PEiDと同様に以下のレジストリ項目を使用します。
[HKEY_CURRENT_USER\Software\PDLL]
このレジストリの使用を回避したい場合は、UMPE起動後、PEダンパーでのプロセスやモジュールの選択前、また、PEエディタでのPEファイルの読み込み前に、[PEiD]チェックボックスのチェックをオフにして下さい。あるいは、UMPE初回起動前にPEiDLL.DLLをリネームして使用不可にして下さい。

●16Edit FX

PEエディタが実装しているバイナリエディタは、ヘキサエディタモジュール「16Edit FX」に日本語対応化と機能追加を行ったものです。基本機能は一般的なバイナリエディタと同じですが、バイナリデータの貼り付けによるファイルサイズの増加には対応していません。ファイルサイズの増加はPEエディタが対応しています。このバイナリエディタが用いるクリップボードの形式は独自仕様です。このバイナリエディタでコピーされたデータしか貼り付けできません。

●うさみみハリケーンとの連携解析

PEエディタで読み書き可能モードでオープンしているPEファイルは起動することができません。対象PEファイルを起動してうさみみハリケーンとの連携解析を行う際には、あらかじめ、対象PEファイルを読み取り専用モードでオープンする必要があります。

●ASLRの無効化

Windows Vista以降では、EXEファイルやDLLファイルといったモジュールがプロセスメモリ上に読み込まれるアドレスをランダム化する、セキュリティ上の脆弱性を緩和する機能ASLR(Address Space Layout Randomization)が実装されています。このASLRを無効化し、既存のASLR対応EXEファイルに、イメージベースが0x00400000になるという前提でのプログラムコードを埋め込んだり、そのようなパッカーを用いたいケースや、固定アドレスを指定してメインモジュールのプロセスメモリを書き換えたいケースでは、下記の処理で対処可能です。

PEエディタの画面左側ツリービューで、[PEファイル]→[ヘッダ]以下にある[フラグ]を選択し、以下のようにフラグを変更します。
「Characteristics」にある「RELOCS_STRIPPED」フラグをオン(必須ではない)
「DllCharacteristics」にある「DYNAMIC_BASE」フラグをオフ
イメージベースが0x00400000ではない場合は、必要に応じて上記[ヘッダ]欄で変更します

なお、特定プロセスではなく、全てのプロセスでASLRを無効化したい場合は、以下のレジストリ操作を行うことで対処できます。
「HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\MoveImages」に値0を設定。

各コントロールの説明（PEダンパー）

●画面説明

●プロセス
■プロセスリスト更新
実行されているプロセスの一覧を更新します。Windows Vista以降では、管理者権限でこのソフトウェアを起動していない場合は、一部のプロセスが表示できません。また、64ビット版OS上では、表示されるのは32ビット版ソフトウェアのプロセスのみです。

■うさみみハリケーンで解析
選択されているプロセスをうさみみハリケーンで解析します。うさみみハリケーンは起動後に自動でこのプロセスを選択します。あらかじめ、このボタンの下にあるコンボボックスで、うさみみハリケーンの実行可能ファイルを選択してください。

●選択モジュール
■エクスプローラのメニュー
選択されたモジュールに対する、エクスプローラのコンテキストメニューを表示します。本来エクスプローラ上で表示されるものであるため、一部のメニュー項目は使用できません。

■モジュールをダンプ
選択されたモジュールをプロセスメモリ上からダンプし、ファイルとして保存します。基本的に、この機能はアンパック時に使用します。

■PEエディタを起動して編集
このボタンの下にあるオプションで指定した内容に沿って、PEエディタを起動します。[モジュールのコピー]を選択していると、選択されたモジュールがあるフォルダにコピーを作成し、そのコピーをPEエディタでオープンします。[モジュール(読取専用)]の場合は、選択モジュールをそのまま読み取り専用モードでオープンします。モジュール一覧で対象PEファイルを指定する必要がない場合は、ラジオボタンは初期設定の[モジュール指定なし]のままで「PEエディタを起動して編集」ボタンを押します。

●その他設定・バージョン情報
■PEiDを使用
PEiDを使って選択モジュールのパッカー/コンパイラ情報を取得して表示するかを設定します。

■最前面表示
表示されているダイアログの最前面表示を行うかを設定します。

■カラム幅調整
プロセスリストとモジュールリストのカラムの幅を、そのカラムの項目に含まれる文字列の最大字数に合わせて変更するかを設定します。

■UMPEのバージョン情報
UMPEのバージョン情報と、UMPEが使用したPEiD、PEiDLL.DLL、16Edit FXのクレジットを表示します。

各コントロールの説明（PEエディタ・カテゴリ別）

●画面説明

●各カテゴリ共通項目
■（カテゴリ）
ダイアログ左上にあるツリービューで、対象PEファイルに行う操作のカテゴリを選択します。PEダンパーでモジュールを指定せずにPEエディタを起動した場合は、最初に[PEファイル]カテゴリで、対象とするPEファイルをオープンする必要があります。

■最前面表示
表示されているダイアログの最前面表示を行うかを設定します。

■終了
PEエディタを終了させ、PEダンパーの画面に戻ります。

■カラム幅を最大字数で調整
リストビューのカラムの幅を、そのカラムの項目に含まれる文字列の最大字数に合わせて変更します。

●PEファイル
■開く
解析・編集対象のPEファイルをオープンします。

■閉じる
オープンしたPEファイルを閉じます。この時点で、PEファイルに行った書き換え内容が確定します。PEエディタのダイアログを閉じた際には、その時点でオープンしていたPEファイルは自動的に閉じられます。

■バックアップ作成
PEファイルをオープンした際に、対象PEファイルと同じフォルダにバックアップを作成します。

■PEiD(チェックボックス)
PEファイルをオープンした際に、対象PEファイルのパッカー/コンパイラ情報を取得するかを設定します。

■解析対象を起動して解析開始
オープンしているPEファイルを起動し、さらにうさみみハリケーンで解析します。うさみみハリケーンは起動後に自動でこのPEファイルのプロセスを選択します。あらかじめ、このボタンの下にあるコンボボックスで、うさみみハリケーンの実行可能ファイルを選択してください。

■起動済み
オープンしているPEファイルがすでに起動している場合は、このチェックボックスをオンにしてください。対象PEファイルの起動は行わず、そのままうさみみハリケーンで解析します。

■解析対象の実行オプション(エディットボックス)
必要に応じて、対象PEファイルを起動する際のコマンドラインオプションを設定します。

■親フォルダを開く
対象PEファイルがあるフォルダをエクスプローラで開きます

■エクスプローラのコンテキストメニューを表示
対象PEファイルに対する、エクスプローラのコンテキストメニューを表示します。本来エクスプローラ上で表示されるものであるため、一部のメニュー項目は使用できません。

●ヘッダ・フラグ・ディレクトリ・その他
■基本操作
各設定値を16進数で書き換え、あるいは一覧から選択してから、[書き込み実行]ボタンを押します。「ヘッダ」カテゴリのバージョン項目のみ10進数で入力します。[元の値に戻す]ボタンで書き込んだ内容を元に戻して書き込みます。これらのカテゴリで不適切な数値を書き込むと、対象PE ファイルは起動できなくなります。

●インポート・エクスポート
■選択関数名を検索
このボタンの右にあるコンボボックスで指定したWebサイトで、選択関数名を検索します。

●リソース
■全てのアイコンを抽出
対象PEファイルのリソースに含まれる全てのアイコンを検索し再構築してから出力します。指定した保存先のフォルダに、連番のアイコンファイルを出力します。

■選択リソースをダンプ
選択されたリソースデータをそのままバイナリデータとしてファイルに保存します。初期設定の保存ファイル名にはこのリソースデータの先頭オフセットを使用します。

●セクション
UMPE3

■選択セクションをファイルにダンプ
セクションリスト上で選択したセクションをバイナリデータのファイルとして保存します。

■ダンプファイルのセクション情報を修正
プロセスメモリ上からダンプしたモジュールに生じる、セクション情報の不整合を修正します。

■カラム幅調整
セクションリストのカラムの幅を、そのカラムの項目に含まれる文字列の最大字数に合わせて変更します。

■名前(エディットボックス)
追加するセクションの名前を半角英数で設定します。最大字数は8文字です。

■サイズ(エディットボックス)
追加するセクションのサイズを設定します。このサイズはセクションアラインの倍数に設定してください。

■追加セクションにファイルを書き込み(チェックボックス)
このオプションを有効にすると、セクションを追加し、さらに指定したファイルを追加セクションに書き込みます。追加セクションのサイズは指定ファイルのサイズを元に自動で設定されます。

■参照
追加セクションに書き込むファイルのパスを指定します。指定されたパスはこのボタンの下のエディットボックスに表示されます。

■セクション追加
指定された名前、サイズ、ファイルパスを元にセクションを追加します。元のPEファイルにセクションアラインの不整合があれば、自動で修正してからセクションを追加します。

■追加取消
最後に追加されたセクションを消去します。

■フラグ変更
選択されたセクションの属性と内容のフラグを、このボタンの上にあるチェックボックスで指定されたもので変更します。DEPに対処するためコードを含むセクションには必ず「実行」の属性を付加してください。

●補助ツール
■ファイルサイズ変更実行
16進数で指定された値でファイルサイズを変更します。ファイルサイズの増加・減少の両方に対応しています。

■アドレス/オフセット(エディットボックス)
アドレス⇔オフセット変換を行うアドレスまたはオフセットを16進数で入力します。

■変換実行
このボタンの上部のラジオボタンで設定されたモードでアドレス⇔オフセット変換を行い、変換結果を出力します。

■デジタル署名の有効性チェック
オープンしているPEファイルのデジタル署名の有効性をチェックし、同時にSIPハッシュを出力します。デジタル署名が付加されたPEファイルが改ざんされていたり、もとよりデジタル署名が付加されていない場合は「無効」と表示します。

●バイナリエディタ
■基本操作
ダイアログで表示される、ヘッダやセクションなどのオフセットを示すツリービューで、バイナリエディタの初期表示オフセットを指定します。次に、バイナリエディタの表示に使用する文字コードやフォントサイズを指定してから[バイナリエディタ起動]ボタンを押します。文字コードはバイナリエディタ上で動的に切り替え可能です。

■バイナリエディタの操作
操作はツールバーのボタンで行います。ツールバーのボタンにカーソルを重ねると、そのボタンの機能の説明文が表示されます。16進データ表示部と、文字列データ表示部の両方で、16進データあるいは文字列データの直接入力が可能です。必要に応じ、左クリックで任意のオフセットを指定したり、ドラッグで選択範囲を指定します。

●逆アセンブラ
■基本操作
逆アセンブルの開始オフセットとして、エントリーポイントあるいは任意のオフセットを指定してから[逆アセンブル実行]ボタンを押します。任意のオフセットを指定する場合は、かならずニーモニックの先頭となるオフセットを指定する必要があります。ニーモニックの先頭かが不明確な場合は、1バイトずつオフセットを前後にずらしながら逆アセンブルを行い、適切に逆アセンブルできるオフセットを探ってください。