●画面説明


●モジュール一覧
■モジュール一覧再取得
モジュール情報を再取得して一覧表示を更新します。

■モジュール一覧(リストビュー)
モジュールの一覧を表示します。モジュールを選択して右クリックで、ポップアップメニューから選択したモジュールに対する操作を行います。

●ポップアップメニュー(モジュールを選択して右クリック)
■モジュールがあるフォルダを開く
選択したモジュールの実行ファイルがあるフォルダをエクスプローラで開きます。

■プロパティを表示
選択したモジュールの実行ファイルのプロパティを表示します。

■Explorer用コンテキストメニューを表示
選択したモジュールの実行可能ファイルに対して、エクスプローラ上で右クリックした際に表示されるコンテキストメニューを表示します。本来エクスプローラ上で表示されるコンテキストメニューをそのまま表示させているため、メニュー項目によっては正常に動作しません。

■モジュールをダンプ
選択したモジュールをプロセスメモリ上からダンプします。ダンプファイルはUsaMimi.exeと同じフォルダに「モジュール名.dumped」で作成されます。

■PeRdrで実行ファイルを逆アセンブル
選択したモジュールの実行ファイルをPeRdrを使用して逆アセンブルします。逆アセンブルコードリストはUsaMimi.exeと同じフォルダに「モジュール名_das.txt」で出力します。事前にPeRdr.exeをUsaMimi.exeと同じフォルダに導入しておいてください。PeRdrは必ずバージョン「0.0108 beta」以降のものを導入して下さい。

●インポート関数・エクスポート関数
■インポート関数・エクスポート関数(リストビュー)
「インポート関数」「エクスポート関数」ラジオボタンで表示内容を切り替えます。

インポート関数やエクスポート関数の一覧は、関数名やアドレス等の項目文字列による昇順・降順のソートに対応させています。ソートはリスト上部の項目名(カラム)をクリックして行います。同じカラムを連続でクリックすると昇順・降順を切り替えます。

各関数のアドレスは、インポート関数では各関数のIAT(インポートアドレステーブル)のアドレスと関数の開始アドレスを、エクスポート関数では各関数のEAT(エクスポートアドレステーブル)のアドレスと関数の開始アドレスを表示しています。

インポート関数/エクスポート関数一覧上でのクリックに対応する動作は以下のようになります。

▲インポート関数一覧表示時のクリック動作：
左クリック→IATのアドレスをダンプ表示ウィンドウで表示
右クリック→関数の開始アドレスをダンプ表示ウィンドウで表示

▲エクスポート関数一覧表示時のクリック動作：
左クリック→関数の開始アドレスをダンプ表示ウィンドウで表示
右クリック→EATのアドレスをダンプ表示ウィンドウで表示

エクスポート関数一覧では、モジュールの実行ファイルに含まれるエクスポート関数テーブルをそのまま表示していますので、エクスポート関数のアドレスが重複するケースがあります。

安全のため、アクセスを拒否されたモジュールのエクスポート関数は表示しません。

この逆アセンブル処理にあたっては多大なメモリを確保することになります。逆アセンブルコードリストが100万行超の場合など、実装メモリ容量によっては逆アセンブル中にフリーズしかねません。そのため、まずシステム全体での空きメモリ状況を取得して、この逆アセンブル処理でフリーズしかねない場合は事前に警告し、逆アセンブル処理を続行するか確認します。

逆アセンブル対象モジュールのサイズや使用PCのスペックにより、逆アセンブルには数分を要する場合もあります。「逆アセンブル実行」ボタンを連打しないで下さい。

PeRdrを使用して操作対象のプロセスのメインモジュール実行ファイルを逆アセンブルします。逆アセンブルコードリストはUsaMimi.exeと同じフォルダに「モジュール名_das.txt」で出力します。事前にPeRdr.exeをUsaMimi.exeと同じフォルダに導入しておいてください。 PeRdrは必ずバージョン「0.0108 beta」以降のものを導入して下さい。

• 「確保」ボタンで、0x2000バイトの読み書き実行可能なアクセス属性を持つメモリエリアを確保します
• 
  
  
• バッファアドレスの指定候補として、メニュー「デバッグ」→「仮想アドレス空間内でメモリ領域を確保」で確保済みのメモリエリアを、当ダイアログ作成時に「確保」ボタン左側のコンボボックスへリストアップします。
• 
  
  
• プログラムコードを書き込むバッファには、「実行」のアクセス属性を持つ必要十分なサイズのメモリエリアを指定してください
• 
  
  
• 追加する処理で、データのコピー先とするメモリエリアには、「読み書き」のアクセス属性を持つ必要十分なサイズのメモリエリアを指定してください
• 
  
  
• プログラムコードの書き込み先や、他のデータコピー先アドレスなどは重複しないよう指定してください
• 
  
  
• アセンブルコードに問題があると対象プロセスをクラッシュさせることになります
• 
  
  
• エディットボックスで編集可能なアセンブルコードのテキストは10KBがサイズ上限です
• 
  
  
• アセンブルコード内でオペランドとして指定された数値は16進数値とみなし、数値の後に半角ピリオド「.」が付いていれば10進数値とみなします
• 
  
  
• アセンブルコード内で数値を指定する際は、最大桁を必ず10進数値にしてください(例：ABCD->0ABCD)
• 
  
  
• API関数呼び出しのニーモニック「CALL ADDRESS」は、「@」を使用して省略記述が可能です(例：@User32.dll\MessageBoxA)
• 
  
  
• API関数のアドレスをEAXレジスタにロードするニーモニック「MOV EAX, ADDRESS」は、「#」を使用して省略記述が可能です(例：#User32.dll\MessageBoxA)
• 
  
  
• アセンブルコード中でニーモニックの前に半角の「>」を付けると、プレビュー画面でそのニーモニックをハイライト表示します(256カ所まで設定可能)
• 
  
  
• テンプレートで出力したアセンブルコード内で、コメントで「*」が付いているものは、オペランドやアドレスの数値を補記する必要があります
• 
  
  
• アセンブルコード中で半角コロン「:」の後にアドレスの16進数値を指定すると、以降のニーモニックのアドレスを強制的に変更します(例「:408500」)
• 
  
  
• APIフック時に戻り値を変更する場合は、新しいリターンアドレスでのプログラムコード書き込みのため、半角コロン「:」でのアドレス指定が必要になります(テンプレートの例を参照してください)
• 
  
  
• アセンブルコード中でのジャンプ命令指定時には、LONGジャンプ(ジャンプ幅を4バイトで指定し、常に使用可能)・SHORTジャンプ(ジャンプ幅を1バイトで指定し、ジャンプ幅が符号付きByteの範囲内の場合のみ使用可能)を選択することができます(例：「JMP LONG 405000」)
• 
  
  
• 「ジャンプ＋ルーチン書き込み」ボタンが押された際には、ジャンプ書き替え部分とパラサイトルーチン書き込み部分の両方の、逆アセンブルコードおよび改造コードを出力します
• 
  
  
• テンプレートで出力した「新スレッド用ループルーチン」は、プロセスメモリに書き込み後、当ソフトウェアのダンプ表示ウィンドウでルーチン先頭アドレスを選択し、メニューの「デバッグ」→「選択アドレスでCreateRemoteThread関数実行」でスレッドの実行を開始します

1. 追加するプログラムコードを挿入したいアドレスを、「パラサイトルーチン設定」欄の「ジャンプ元アドレス」に指定します
2. 
   
   
3. 同様に、追加するプログラムコードの本体を書き込むバッファのアドレスを、「バッファアドレス」に指定します
4. 
   
   
5. 必要に応じて、「確保」ボタンでバッファを確保して「バッファアドレス」に指定します
6. 
   
   
7. 「パラサイトルーチン設定」欄の「プレビュー」ボタンで、ジャンプ命令への書き替えに問題がないか確認します
8. 
   
   
9. 必要に応じて、「アセンブルコード記述補助」欄でテンプレートを選択して出力します
10. 
    
    
11. 必要に応じて、「パラサイトルーチン作成・ジャンプ＋ルーチン書き込み」欄の「読込」ボタンで、ファイルからアセンブルコードを読み込みます
12. 
    
    
13. 「パラサイトルーチン作成・ジャンプ＋ルーチン書き込み」欄のエディットボックスで、追加するプログラムコードのアセンブルコードを編集します
14. 
    
    
15. 追加するプログラムコードのアセンブルコードが完成したら、「プレビュー」ボタンでアセンブルコードに問題がないかチェックします
16. 
    
    
17. 「ジャンプ＋ルーチン書き込み」ボタンで、対象プロセスのプロセスメモリ上で、ジャンプ命令への書き替えと追加するプログラムコードの書き込みを実行します
18. 
    
    
19. 上記書き込み時に「ルーチンのみ」チェックボックスがチェックされていると、ジャンプ命令への書き替えは行いません
20. 
    
    
21. 必要に応じて、「ジャンプ部分書き戻し」ボタンにより、追加したプログラムコードの本体(パラサイトルーチン)へのジャンプ部分を書き戻して、追加したプログラムコードを無効化します
22. 
    
    
23. 必要に応じて、「逆アセンブルコードリスト/改造コードプレビュー（右クリックからコピー可）」欄で、書き替え後の逆アセンブルコードあるいは改造コードをテキスト形式でコピーします

• 一般的に、対象プロセスが動的にコールするAPI関数は、GetProcAddress関数へのAPIフックを行い、その引数に指定されたAPI関数名を取得することで確認可能です。また、動的にロードされるモジュールを確認するならば、LoadLibrary関数あるいはLoadLibraryEx関数をフックして引数に指定されたモジュール名を取得します。
• 
  
  
• パラサイトルーチンやAPIフックによって取得した数値や文字列は、メッセージボックスだけではなく、OutputDebugString関数で文字列として出力し、当ソフトウェアのデバッグ文字列出力監視機能で取得することも可能です。この方法は、TextOut関数で連続して出力される文字列の取得といった、複数の情報を連続して取得したい場合に有用です。
• 
  
  
• APIフック時には引数や戻り値の変更だけではなく、MOV命令などを使用して、それらの値を任意のアドレス(確保したバッファなど)にコピーすることも可能です
• 
  
  
• 確保したバッファをあらかじめNOP命令のオペコード「0x90」で埋めておけば、そのバッファ内で自由にプログラムコードを配置することが可能です(一番左のツールボタンから一括書き替え可)
• 
  
  
• アセンブルコード内で記述する、ジャンプ命令のオペランドには、「JMP DWORD PTR [407700]」といった格納アドレスや、「JMP ESI」といったレジスタをジャンプ先アドレスとして指定可能です
• 
  
  
• APIフック時に取得した引数や戻り値のコピーは、コピー先バッファとは別にポインタを作成することで、複数の数値を並べてコピーすることが可能です。
  ;ポインタのアドレスを7FF9A000、コピー先バッファをアドレス7FF9A010に指定した場合
  ;実行するたびに、4バイトの数値を並べてコピーするプログラムコード
  ;バッファオーバーフローにならないよう、必要に応じて比較・ジャンプ命令を挿入してください
  ;ポインタのアドレス7FF9A000には、あらかじめ数値7FF9A010を書き込んでおく
  MOV EBX, DWORD PTR [7FF9A000] ;ポインタの格納値をコピー
  MOV DWORD PTR [EBX], EAX ;ポインタの格納値が示すアドレスに数値(この例ではEAXレジスタの値)をコピー
  ADD DWORD PTR [7FF9A000], 4 ;ポインタの格納値に4バイト分加算