偽装ツールを名称順に紹介しています。
順番は正式名称を英数字・読み仮名で並べています。
左フレームで選択すると、目的のツールまで早く辿り着けるかもしれません。多分。
尚、ここに挙げた情報は、自分が今までに他サイト様から得て覚えた情報の他に、
独自に調べた内容もかなりあります。
よって、最善を尽くして記事を書いているつもりではありますが、
内容に不備・誤りが含まれている可能性も否定出来ません。
そんな時は、ここの管理人を「やーい、この物知らず!」とひとしきり嘲笑した後、
そっとやさしくメールか掲示板で教えてあげるといいかもしれません。
まあ、そんな感じだと認識の上で、このサイトは閲覧下さるようお願い致しますm(_
_)m
また、ダミー画像サンプル等でモザイク処理してある場合もあります。
ご了承下さい。
| 英数字 |
| A |
| A562B286B3CFB2EE | |
| 偽装タイプ | 偽装・埋込 |
| 偽装後の拡張子 | 全て(添付のダミーを使うとbmpかexe) |
| 偽装後の画像等 | 添付ダミーの場合は、猫の足跡のbmp、 または自分自身を削除するexe(環境などにより動作せず) |
| 対応ツール | Melt it!、支天輪 (当環境では不可でしたが、MaltyとThawingの報告あり) |
| 通称・愛称 | jemmy、猫じゃむ、944C82B682E182DE |
| 『「944C82B682E182DE形式」で偽装するツールです。』とのことです。 ツール名といい形式名といい、なんの事かさっぱりわかりません(汗。 取り敢えず形式名をバイナリエディタで書いてみると、 「猫じゃむ」と読めます(画像)。ツール名の方は意味不明でした。 動作にはJemmy.dllが必要です。おまけのダミーファイルとして、 猫の足跡のbmpと自分自身を削除するexeが添付されています。 (追加登録することによりダミーの種類が増やせます。) 偽装後ファイル名の先頭文字列は、設定すれば変更するまで同じです。 拡張子は、登録しているものがランダムに割り振られて付けられます。 パスワード設定も可能です。 さて問題のちょっと物騒なexeなのですが、 実は当環境では実行してもそのような動作が再現できません。 この件について以前、exeに詳しいこのサイトの命名者に解析依頼したところ、 『実は手抜き設計があり、構造上、本質的に、環境により、 自己削除に失敗する可能性があるプログラムです。 自動生成したものの実行より、WinExec() の終了とプロセスの終了、 補助ファイルの生成が先行する可能性に依存している』 とのことでした。(ワルさん、その節はありがとうございました。) |
|
| angouFT | |
| 偽装タイプ | 暗号化・分割・偽装・ビット処理 |
| 偽装後の拡張子 | bmp(ビットマップ偽装時)、gif(GIF偽装時)、 ft0からの数字連番(分割)、ft(乱数暗号時キーファイル)、 fta(圧縮暗号時)、不定(暗号化一般) |
| 偽装後の画像等 | 砂嵐状のbmp(環境により表示出来ず)、 ?マーク付き人影のgif |
| 対応ツール | もじへんB、万能符号化復号器、アヘアヘ君(以上、アヘアヘ暗号時のみ) 単純分割に対応したツール(分割時) |
| 通称・愛称 | (正式名称)And Now Get Original Ultimate File Type |
| ビット処理を中心にして色々な暗号化などをします。 どんなことが出来るのかはここを見て下さい。 多くてとても書き切れません(汗 暗号化については例を一つ挙げます。 変換モード1の「255から引く」ですが、これを見て下さい。 255(FF)から1バイト目の値130(82h)を引いて変換後は125(7D)となります。 こんな感じで色々な変換をします。 bmpとgifについては、それぞれヘッダに付加しているだけなので、 場合によってはバイナリエディタでも復号処理も出来ます。 分割は単純分割ですので、単純分割に対応したツールで結合出来ます。 但しこの拡張子の付け方は、ftの後に0から分割した数だけ数字が増えます。 11個分割でft10、101個分割でft100という拡張子になりますので、 拡張子の桁数が一定でないので注意して下さい。 ftファイルは加算した数値の一覧ファイルなので、 これだけ見ても何なのかは分かりません。 fta圧縮は、ラン・レングス法による圧縮のようです。 連続したデータ内容があれば効率は良くなるかもしれません。 アヘアヘ暗号は、バイナリを半角文字の「ア」と「ヘ」に変換します。 尚、アヘアヘ君はこのツールのアヘアヘ暗号機能を独立させたものです。 両者のアヘアヘデータは完全互換となっています。 |
|
| Assimilation Ruffle | |
| 偽装タイプ | 偽装分割(+暗号化) |
| 偽装後の拡張子 | ruf(分割情報ファィル)、jpg、gif、bmp |
| 偽装後の画像等 | 不定、若しくは無し |
| 対応ツール | 暗号化、かつ画像が付加されてなければ、 単純分割に対応したツール |
| 通称・愛称 | 不明 |
| ファイルを偽装分割します。 Readme.txtには、『ファイルの暗号化と(中略)分割を行ないます』 とありますが、暗号化付き偽装分割という方が適当な気もします。 ダミー画像は、指定したフォルダ内にあるjpg・gif・bmpの中の 指定した拡張子の画像を使用します。 もし指定した拡張子の画像がフォルダ内にないと、画像は付加されません。 ダミー画像のファイルサイズは999KB以下までのようです。 作成時に鍵マークをクリックしてパスワードを入力すると暗号化出来ます。 暗号化せず、かつ画像が付加されていない場合は、単純分割形式となります。 単純分割形式であれば別のツールでも結合は出来ますが、 生成される分割ファイル名がランダムに割り振られるので、 (ファイル名の長さは3〜9文字の間で設定出来、長さは一定) 後述の結合情報ファイルで順番を確認してから結合しないと困難です。 尚、生成される分割・結合情報ファイルには、 自動的にリードオンリー属性が付加されるようです。 結合情報のrufファイルをバイナリエディタで覗くとこんな感じです。 「Ruf」の後の「20!」はバージョン表示かと思いましたが、 当方の手持ちのバージョンは1.11なので違うようだし、 その後の数字も不明です。次が元ファイル名で、 次の4バイトが暗号化・CRCチェックに関係しているようです。 続いて分割したファイルの順番に バイト数・分割ファイル名でその次の4バイトですが、 CRCチェックを行わないと0000、行うと英数字になります。 最初4桁なのでCRC16の値かなと思いましたが、 分割ファイルを計算させるとどうも違うようでした。 |
|
| ay825 | |
| 偽装タイプ | 埋込 |
| 偽装後の拡張子 | 全て |
| 偽装後の画像等 | 不定 |
| 対応ツール | 不明(RarUtyが形式によっては隠蔽ファイルのヘッダを認識する場合あり) |
| 通称・愛称 | (読み方)アイ825 |
| ファイルを別のファイルに埋め込みます。 作業を繰り返す事により多重埋め込みも出来ます。要VBランタイムです。 インターフェイスは洗練され非常に解り易く、手軽に扱えるツールです。 100MBを超えるファイルは、極端に処理が遅くなることがある。との事です。 通常の操作では、埋め込み完了すると隠蔽データは削除され、 取り出し完了すると埋め込み済データは元データに置き換わりますが、 埋め込み・取り出し作業時にShiftキーを押しながらボタンクリックで、 bakファイルを作成して残す事も出来ます。 尚、埋め込み後のファイルには、リードオンリー属性が付加されます。 この埋め込みの構成は、[ファイルA][ファイルB][情報部分][フッタ]のようです。 まず、埋め込まれるファイルと埋め込むファイルは、平文で単純結合されています。 (画像)この例はjpgにgifを埋め込んだものです。 反転部分の「GIF98a」という埋め込んたファイルのヘッダが見えます。 その直前に、jpgのEOIである「FF D9」があるのが判ると思います。 その次に、312バイトのASCIIがあります。(画像) 恐らくこの部分が、元ファイル名やデータ区切等の情報格納部なのだと思います。 この部分に使用されている文字種から推測すると、 多分Base64辺りで情報がエンコードされていると思ったのですが、 実際にデコードしてみても可読性のある有効なデータは見付けられませんでした。 もしかしたらもう一捻り必要なのかもしれません。 (一応basE91でもデコードしてみましたが、やっぱりダメでした。) 続いて、半角スペースをはさんで「ay825 1.00」というフッタがあります。 (画像)これがこのツールで埋め込んだファイルの一番の特徴です。 最後に「0D 0A」の改行コードが付いて終了です。 データそのものは平文状態ですが、区切りとなる部分の情報がよく判りません。 しかし、2番目のファイルのヘッダが解りやすい形式であったり、 先頭ファイルのEOFが一定の値である形式なら (例えばjpgのEOIである「FF D9」や、gifのTrailerである「3B」等)、 丹念にバイナリを調べて境界点を探し出してから、 付加された情報部分とフッタ部分、合せて325バイトを削って保存出来れば 無事隠蔽データを取り出せるはずです。 しかしながら、使用されたデータが既に当ツールで多重埋め込みされていたり (この場合、312バイトの情報部やフッタ「ay825 1.00」が複数出現します。)、 他のツールで既に偽装されていて、中間にあるEOFが想定外の値になっている等、 場合によっては判別が困難な場合もあるかもしれませんのでご留意の程を。 (これって深読みのし過ぎかも…(^(家)^;)ゞ) |
|
| B |
| BDBZM | |
| 偽装タイプ | 分割・偽装分割 |
| 偽装後の拡張子 | bbm(分割情報)、pdf、dat、wav、swf、avi、mpg、doc、jpg、gif(追加可) |
| 偽装後の画像等 | デフォルトでは、松浦亜弥の画像(※現在配布停止)(ブラグインで追加可) |
| 対応ツール | タマ。(分割状況により単純結合の可能な物も可) |
| 通称・愛称 | あやや、ぁゃゃ、松浦亜弥 |
| 比較的見かける機会のある形式だと思います。 ファイルの分割・再分割・結合が出来ます。 作者様曰く「某璃樹無+某ラブマな分割ツール」だそうです。 通称・愛称については、ダミー画像用の標準プラグインデータ(※現在配布停止)が、 松浦亜弥さんのjpg画像とpng画像だったことから来ています。 bbmファイルが結合情報ファイルで結合時に必要です。 バイナリエディタで覗くとこんな感じです。 これを分割した最終ファイルに埋め込むことも可能です。 データ加工形式には、BDBZM分割と単純分割が選べます。 単純分割形式で分割されたデータの場合は、 単純結合に対応したツールでも結合可の場合もあります。 bbmファイルを埋め込んでいる場合は、 結合後のファイルフッタにもその分が付加されますので、 わずかに元ファイルよりサイズが大きくなります(113バイト)。 特に再生には影響しないようです。 結合時のパスワード設定をしたり、 指定した容量毎にサブディレクトリに自動振り分けしながらの分割も出来ます。 分割後に割り当られる拡張子は上記の通りですが、 「extlist.txt」内に追記することにより種類を追加することが出来ます。 プラグインエディタを使うと、偽装出来るダミー画像等を追加出来ます。 (プラグインデータは拡張子bbpです。) extlist.txtの方はファイル名として割り振られる拡張子で、 ヘッダ偽装内容には影響しません。 逆にプラグインエディタの方は、ヘッダ偽装に影響しますが、 割り振られる拡張子を決めることは出来ません。 混同しやすいのでご注意下さい。 例)wmvファイルのヘッダをしたダミー動画の内容で、 rarファイルの拡張子をしたファイルを作りたい。 1.プラグインエディタに元となるダミーのwmvファイルを登録保存する。 2.extlist.txtに*.rarを追記する。 となります。 後はコラムも参照下さい。 |
|
| Black Album | |
| 偽装タイプ | 偽装 |
| 偽装後の拡張子 | gif |
| 偽装後の画像等 | 8×8ピクセルの黒くて四角い点 |
| 対応ツール | Melt it !、支天輪、詩子様、Malty、そ、BA復元ツール |
| 通称・愛称 | BA、黒盤 |
| ファイルをgifに偽装します。 画像が8×8ピクセルの黒くて四角い点だし、 対応ツールも多いので比較的判りやすいかもしれません。 但し、拡張子jamのファイルを伴っている場合は、なぞじゃむが生成したBA偽装と思われますので、 本ツール若しくは対応ツールで一旦偽装解除してからなぞじゃむで結合してみて下さい。 (この場合、拡張子はgif以外にbmp、jpg、pngの場合がありますが、ヘッダはgifのままです。) バイナリエディタで覗くとこんな感じです。 暫く00で埋められているのが印象的です。 インターフェイスは萌え系です(笑 スキンも色々出廻っていたようです。 |
|
| BlackBox、BlackBoxMkII | |
| 偽装タイプ | 偽装(BlackBoxはヘッダ偽装) |
| 偽装後の拡張子 | cab |
| 偽装後の画像等 | なし |
| 対応ツール | 不明(BlackBoxは、場合によりMelt it !(?)) |
| 通称・愛称 | 黒箱、マークII(BlackBoxMkIIのみ) |
| (以下、BlackBoxは無印、BlackBoxMKUはMKUと表記します。) ファイルをcabに偽装します。 偽装後のcabは、解凍に失敗して何も生成されません。 無印とMKUに互換性はありません。 バイナリエディタで覗くとこんな感じです。 cabのヘッダである「MSCF 」で始まり、 「彭)2」や「CK」の文字列が何度も出てきます。 無印はオリジナルファイルの上に9,608バイトを乗せただけです。 ヘッダの最後の方にはオリジナルファイル名もあります。 ので、偽装後のファイルの最初を9,608バイト削ると解除出来ます。 MkIIは暗号化?されているようなので、ちょっと無印のようにいきません。 ただ、こちらも「彭)2」や「CK」の文字列が出てくるのは共通なので、 判別の手掛かりになると思います。 無印の方は、Melt it !が場合によっては解除成功します。 (今回成功したのは圧縮ファイルを偽装したものでした。) 起動には、要VB6ランタイムとのことです。 |
|
| Black List | |
| 偽装タイプ | テキスト変換(暗号化) |
| 偽装後の拡張子 | txt |
| 偽装後の画像等 | なし |
| 対応ツール | 不明 |
| 通称・愛称 | 不明 |
| 偽装後のファイルをメモ帳で覗いた時に、黒くて四角の文字に変換します。 (テキストエディタだとこんな感じです。) バイナリファイルも変換可能ですが、テキストファイルの暗号化を前提にしていますので、 テキストファイルでの使用が推奨されています。 実行ファイル起動後にD&Dが基本です。 実行ファイルに直接D&Dすると、ファイル名が8+3のMS-DOS形式になります) 変換後の拡張子は「txt」で、復号化すると「lst」の拡張子になります。 復号後内容のシャッフルの有無が偽装時に設定出来ます。(復号時に選択は出来ません。) シャッフルとはこういう事です。 改行(CR+LF)〜改行間の内容は保持して1ブロックとし、ブロック単位で順番を入替します。 URLリストなどはシャッフルしても問題ないと思いますが、 普通のテキストでも文脈が変になる場合もあるし、バイナリだと壊滅的になると思いますので、 URLリスト以外はシャッフルしない方が賢明です。 (これを逆手に取って、妙な文章を作って楽しむことも出来ますが^^;) バイナリエディタで覗くとこんな感じです。 気付いた方もいらっしゃると思いますが、00h番台と10h番台で構成されています。 Windowsのアクセサリの中に「文字コード表」というプログラムがあります。 これを起動してみると、文字セット「日本語」の先頭にある「!」という文字の16進コードは 0x21(21h)です(画像)。 ということは、00h番台と10h番台には割当されていないことになります。 その空白地帯を利用して変換していて、メモ帳では■のような感じに見えるのです。 起動には、要VB6.0ランタイム(SP5)とのことです。 |
|
| BlackWing | |
| 偽装タイプ | 偽装・偽装分割 |
| 偽装後の拡張子 | bif(分割情報)、avi、bmp、wav |
| 偽装後の画像等 | avi→砂嵐状の動画、bmp→砂嵐画像、wav→ノイズ音 |
| 対応ツール | 不明 |
| 通称・愛称 | BW、黒羽、羽 |
| ファイルを単品で偽装したり、偽装分割します。 偽装後のaviは砂嵐状の動画(音声なし)、bmpは砂嵐画像、wavはノイズ音です。 結合情報ファイルは拡張子bifです。バイナリエディタで覗いてみましたが 特徴は特に見つけられませんでした。 分割時に「暗号化を行う」というチェックがあるのですが、 チェックをしたものとしないものでは、偽装ファイル・結合情報ファイルともに それぞれ若干の違いはあるものの、特に特徴は見つけられませんでした。 CRCリスト出力機能や階層ファイルリスト出力機能もあります。 |
|
| Bremen | |
| 偽装タイプ | 埋込 |
| 偽装後の拡張子 | bmp |
| 偽装後の画像等 | 不定 |
| 対応ツール | 不明 |
| 通称・愛称 | ブレーメン、音楽隊 |
| 24bit、32bitの色深度を持つ任意のbmpファイルの中に 別のファイルを埋め込みます。 さてこの形式、判別が難しいです。添付のテキストにも、 『確かめる方法は試してみるしかありません。』 と書かれています(汗。 バイナリエディタで覗いてみても、これといった特徴はありません。 というか目視でダミーbmpとバイナリをコンペアしても、 あまり違いは見つけられません。酷似しています。 (勿論厳密に機械的レベルでコンペアすると違いはあります。) ファイルサイズも偽装前後で変わりません。 bmpで色々探して見つからない時に疑ってみるしかなさそうです。) (逆に特徴のないbmpというのが特徴?) そんなファイルサイズも変えない偽装ですから、 埋め込むファイルのサイズが大きいと埋め込めません。 試してみたところ、大体ダミーbmpの1割程度のようです。 コラムも参照下さい。 |
|
| butta | |
| 偽装タイプ | 偽装分割 |
| 偽装後の拡張子 | butta(分割情報)、jpg(デフォルト)、bmp、gif |
| 偽装後の画像等 | 浜崎あゆみの画像(※20種類あり) |
| 対応ツール | 不明(分割状況により単純分割に対応したツール) |
| 通称・愛称 | ぶった、ばった |
| ファイルを偽装分割します。 デフォルトはjpgで浜崎あゆみさんの画像20種類のうちどれかです。 プラグイン(拡張子plg)を作成すると、他のjpgや任意のbmpとgifも追加出来ます。 結合情報ファイルの拡張子はbuttaで、 これを分割したファイルに埋め込むことも出来ます。 (ファイル指定しなければ最終ファイルのフッタ部分となる) パスワードの設定や、CRCファイル出力機能もあります。 分割形式に単純分割を指定することも可能です。 ので、場合によっては単純分割に対応したツールで結合可能ですが、 各分割ファイルのヘッダに付いているダミー画像部分を バイナリエディタで削除しないと無理です。 先頭ファイルだと元データのヘッダが残っているのである程度わかりますが、 中間ファイルはどこまでがダミー部分か判別し難いので、 分割数1の単純分割のみに留めておいた方が無難です。 (buttaファイルは埋められたままでも、再生に問題はありません。) buttaファイルをバイナリエディタで覗いてみましたが、 特に手掛かりになる文字列もなく、大きさも不定のようでした。 |
|
| C |
| C & C | |
| 偽装タイプ | 分割 |
| 偽装後の拡張子 | CAC(オリジナル形式)、数字連番、bat(bat結合形式) |
| 偽装後の画像等 | なし |
| 対応ツール | C & C : CACtype2 Combiner 、そ(CRC内蔵は不可)、 Melt it!、詩子様、WARUty (分割状況により単純分割に対応したツール) |
| 通称・愛称 | CAC |
| ファイルを分割します。 形式は拡張子CACのオリジナル形式と、 数字連番の拡張子とbatファイルのbat結合形式を選べます。 CAC形式のファイルをバイナリエディタで覗くとこんな感じです。 反転させている部分がヘッダとして付加されます。 その部分を削除すれば、後は単純分割された状態となりますので、 単純分割に対応したツールでも結合出来ます。 CRC情報を内蔵させるかどうか選択出来ます。 内蔵させると若干ヘッダの量が増えます。 おそらく「そ」はCRC情報が増える部分に対応していないために、 CRCを内蔵させると結合出来なくなるのかもしれません。 (結合後ファイルの先頭部分を若干削ってやると、ちゃんと再生出来ます) bat結合形式のbatファイルをテキストエディタで覗くと、こんな感じです。 ちゃんとC&Cで作成されたことが書いてあります。 後はコラムも参照下さい。 拡張子変更ツールもついています。この機能はヘッダ偽装とかでなく、 単なる拡張子のリネーム機能のようです。 動作には要VB6ランタイム(SP4)とのこと。 |
|
| C.C.Sakura | |
| 偽装タイプ | 偽装、埋込 |
| 偽装後の拡張子 | ccs(通常)、全て(埋込時) |
| 偽装後の画像等 | なし、埋込時は不定 |
| 対応ツール | 不明 |
| 通称・愛称 | 不明 |
| ファイルを偽装します。通常時の拡張子はccsです。 ちちばの後継ツールですが互換性はないようです。 (暗号化のアルゴリズムは同一のようですが) バイナリエディタで覗くと、ヘッダに「C.C.S.」とあります。 その後にオリジナルファイル名も見えますね。 また、8KBまでの制限がありますが、他ファイルに埋め込みをすることも出来ます。 埋め込まれたファイルもバイナリエディタで覗くと、 途中に「C.C.S.」とあります。こちらも同様に、その後はオリジナルファイル名です。 |
|
| Chaky | |
| 偽装タイプ | 暗号化 |
| 偽装後の拡張子 | cpy |
| 偽装後の画像等 | なし |
| 対応ツール | 不明 |
| 通称・愛称 | 不明 |
| このツールの置いてあるフォルダ、及び下位のフォルダにあるファイル全て暗号化します。 (書庫のように一個のファイルにまとめての暗号化、という意味ではありません。) よって利用する際は、暗号化したいフォルダにコピーする必要があります。 拡張子はcpyで、ファイル名はランダムな文字列に置き換えられます。 バイナリエディタで覗くとこんな感じです。 ヘッダは「$ネッQ...^メ・ワル涯ク」のようです。 |
|
| Chromakey | |
| 偽装タイプ | 偽装 |
| 偽装後の拡張子 | ico |
| 偽装後の画像等 | デフォルトでは、青い背景にやや右肩上がりの黒い横線の入ったアイコン画像か、 灰色の背景に赤・青・黄色の3本のワイヤーフレームのアイコン画像 |
| 対応ツール | 不明 |
| 通称・愛称 | クロマキー |
| ファイルをアイコンファイルに偽装します。 ダミーとして拡張子icoファイルは直接利用は出来ません。 半角文字0と1からなる、拡張子bxtファイルが専用ダミーファイル形式です。 (バイナリエディタで覗いてみるとこんな感じです。) このツールの作者様は、「オンラインの偽装形式において求められているのは "偽装されているとわかる事"」という考えをお持ちになっていらっしゃるようです。 そのため、bxtファイルの個人作成は認めていらっしゃいません。 もし、どうしても自分で作ったアイコンを使いたい場合は、 766バイトのアイコンを作成し、作者様に応募して正式採用される必要があります。 たた、既に作者様のサイトはアクセス出来なくなっているようですので、 ダミーの画像は、標準で添付されている上記2種類位だけだと多分思います。 (「各プログラム言語の簡単な知識があれば誰でも作れる」と 作者様はおっしゃっていますが・・・) 偽装したicoファイルをバイナリエディタで覗いてみるとこんな感じです。 767バイト目に「96」とあります。おそらく「クロマキー」の頭の部分の 「クロ」を意味していると思われます。 応募採用icoの規定が766バイト固定なのにも関係していると思われます。 bxt部分が変換されて766バイト、続いて識別子の「96」という構成でしょうか。 その後にオリジナルファイル名も見えます。 このツールの隠蔽データ部分の範囲を示す情報は、 自分には見つけられませんでした。 ただ、実験してみると隠蔽データの開始は969バイト目からで一定のようです。 767バイト目の「96」からが2バイト、 769バイト目からオリジナルファイル名の情報で200バイト、 969バイト目からがビット処理された隠蔽データ部分という構成のようです。 (画像。最下段の反転していない部分(0x03C8)からが隠蔽データ部分) 固定のために、隠蔽データ部分の範囲を示す情報が入っていないのかもしれません。 隠蔽データはビット処理されています。 ビット並びの逆転処理です。(0111 1010 → 0101 1110 のような感じ) 969バイト目からファイル末尾の1バイトの直前までのデータを保存し、 ビット並びの逆転処理が出来るツールで処理したら、無事復号出来ました。 このツールはSUMチェックをしているとの事です。 恐らく隠蔽データ部分が終了した直後の、ファイル末尾の1バイトが その値だとは思うのですが、計算の仕方が間違っているのか、 計算範囲が間違っているのか、ちょっとはっきりわかりませんでした。 また、旧形式はSUMチェックをしていないとの事なので、 旧形式用に、SUMチェックをしないオプションもあります。 |
|
| Cipher | |
| 偽装タイプ | 暗号化 |
| 偽装後の拡張子 | cph |
| 偽装後の画像等 | なし |
| 対応ツール | 不明 |
| 通称・愛称 | 不明 |
| ファイルを暗号化します。 プログラムにファイルをD&Dして、開いたDOS窓にキー入力します。 キーには、0 〜 4294967295 までの数字の中から指定出来ます。 バイナリエディタで覗くとこんな感じです。 「-cip0-」がヘッダのようです。オリジナルファイル名も見えますね。 |
|
| Code | |
| 偽装タイプ | 暗号化 |
| 偽装後の拡張子 | dat、exe、全て |
| 偽装後の画像等 | なし |
| 対応ツール | 不明 |
| 通称・愛称 | 不明 |
| ファイルを暗号化します。 キーは0〜Zまでの半角英数です。 特に指定しなければ、元ファイルと同名で内容を上書きします。 バイナリエディタで覗くとこんな感じです。 「_Code_NO」がヘッダのようです。 「ファイルネームも暗号化」にチェックして暗号化すると、拡張子はdatになります。 ファイル名はcodeに数字が付加されたものです。 この数字部分は、暗号化した後のファイルサイズをバイト表示して 1,000で割って小数点以下切り捨てしたもののようです(多分)。 1,024で割ったキロバイト表示でないところがミソですな^^; 例えば暗号化後のファイルサイズが3,578,753バイトなら、 code3578.datというファイル名になります。 バイナリエディタで覗くとこんな感じです。 「_Code_CU」がヘッダのようです。 「自己復号形式を作成」にチェックして暗号化すると、拡張子はexeになります。 ファイル名は「Code01.exe」に固定されています。 よって、連続して暗号化すると上書きされますので注意した下さい。 このモードを利用するには、 1.暗号化するファイルとCode.exeを同じフォルダ内に置く。 2.生成されたCode01.exeをリネームしない。 という制限があります。 バイナリエディタで覗くとこんな感じです。その先には作者様のメアド等もありました。 尚、当環境ではこのソフトの動作は不安定な部分があり、 特に自己復号形式だとうまく復号出来ません。 よって記載内容に不備な点があるかもしれませんので、予めご了承下さい。 |
|
| Cody | |
| 偽装タイプ | 暗号化 |
| 偽装後の拡張子 | crp |
| 偽装後の画像等 | なし |
| 対応ツール | 不明 |
| 通称・愛称 | 不明 |
| ファイルを暗号化します。 このツールの暗号化は、一時的に復号化して関連付けされているアプリケーションで開いた後、 自動的に再暗号化する機能もあります。 一時的にデータを利用したい時は中々便利です。 暗号化後の拡張子はcrpです。test.jpg.crpのように、元ファイル名.元拡張子.crpという形になります。 バイナリエディタで覗くとこんな感じです。 ヘッダ等も不定で、はっきりした特徴は見つけられませんでした。 暗号化のアルゴリズムはBlowfishとの事です。 readme.txtによると、 『"abcabcabc"のような同じ文字列の反復のみからなるキーワードは Blowfish のアルゴリズム上"abc"と同じ扱いになります。』とあります。 自分も試してみましたら、確かに短縮した文字列で解除出来ました。 |
|
| D |
| DarkFiler8 | |
| 偽装タイプ | 偽装(他にも、分割・リネーム・ファイル名暗号化・ヘッダ改竄など色々) |
| 偽装後の拡張子 | avi、gif、jpg、wav (分割時は数字連番もあり。rar連番化、d01連番化の機能もあり) |
| 偽装後の画像等 | なし |
| 対応ツール | RarUty、WARUty、そ、詩子様、支天輪、Melt it! (当環境ではMelt it!がやや不安定な場合もあり) (また当環境では不可でしたが、Maltyも可との報告あり) |
| 通称・愛称 | DF8、裏ファイラ |
| まさに「裏ファイラ」の異名の通り、様々な事が出来ます。 偽装関係に特化したファイラといった感じです。 他の機能は後述するとして、このサイト的には「ファイル偽装化」をメインに取り上げます。 偽装後の拡張子は、avi、gif、jpg、wavでどれも再生出来ません。 (wavはノイズ音のようなものが聞こえるかもしれませんが、無理矢理再生したに過ぎません。) 基本的に偽装元のファイルに一定のヘッダを付加します。 バイナリエディタで覗くと次のような感じです。 GIFファイル JPGファイル WAVファイル AVIファイル 画像反転している部分が付加されたものです。 ちなみに極窓では、全て偽装後の拡張子で認識しました。 では拡張子別に・・・ [gif] ヘッダが「GIF89z」から始まります。 GIF89aやGIF87aなら見たことがありますが、 GIF89zというのは未だ見たことがありません(汗 という訳で、これは比較的判りやすいです。 [jpg] jpgのヘッダである「.リ....JFIF」が付加されています。 これはパッと見では分かりにくいかもしれませんね。 (サンプルの画像はjpg→jpgへ変換したものですので、2回出てきています。) [wav] wavのヘッダである「RIFFフ...WAVEfmt」が付加されています。 注目すべきは「DF8」という文字列があります。 これは画像系にはない特徴です。 [avi] aviのヘッダである「RIFFフ...AVI LIST」が付加されています。 これもwav同様に「DF8」という文字列があります。 さてdf8.txtを見ると、「ヘッダにオリジナルのファイル名・サイズ・CRCを埋め込む」とあります。 ちょっと調べてみました。ここで使用したサンプルのオリジナルファイル名は 「test.jpg」で、サイズが1,173バイトでCRC16が212Fです。 gifを例に取ると、7バイト目(アドレスだと00から始まるので06のところ)に 「/!」から始まる部分がありますが、どうもその部分のようです。 「/!」の2F 21がCRC16の212Fで、次の95 04が1173バイトを16進にした495のようです。 続いてのオリジナルファイル名はそのまま見えます。 これらの情報が埋め込まれているので、偽装後のファイルの名前は自由に変更出来るとの事です。 偽装時に「偽装付着物有効」という項目があります。 これは「指定したバイト数以下のダミーデータをランダムに追加」となっていますが、 簡単にいうと、フッタに「Rar!」を追加するというものです。 指定バイト数によっては、「Ra」だったり「Rar!Rar!R」だったりして長さは様々です。 このフッタに付加された情報は、ヘッダにはデータとしては埋め込まれていないようです。 なんとなれば、埋め込まれた情報で偽装前の内容がわかりますから、 それを超過したフッタの部分は無視しても復号出来るからだと思います。 ファイル名には3桁の数字が付加されます。 設定を変更することによって次の3パターンから選べます。 (1) 000〜999〜z99 (2) aaa〜zzz (3) 36進数(000〜zzz) こうして付加されたヘッダと(場合によっては)フッタの部分をカットして さらにリネームをしてやれば、 バイナリエディタだけでも復号することも可能です。 その他の処理をざっと挙げるとこんな感じです。 ・拡張子のrar連番化(リネーム) ・拡張子のd01からのJydivide連番化(リネーム) ・ファイル名・拡張子の変更 ・ファイル名内の文字列回転・反転 ・ファイル名の暗号化 ・ファイルの単純分割・結合 ・CRCチェック ・書庫の圧縮・解凍 ・バイナリ比較 ・16進ダンプ表示 ・URLリストの展開 ・ファイルのbit処理 ・ヘッダ・フッタを削除 ・ヘッダ改竄 |
|
| dat2bmp24 | |
| 偽装タイプ | 偽装 |
| 偽装後の拡張子 | bmp、txt |
| 偽装後の画像等 | 横幅4ピクセルで、下の方が砂嵐状の画像 |
| 対応ツール | 不明(Maltyが反応するも解除出来ず) |
| 通称・愛称 | 不明 |
| ファイルを24色bitmapに偽装します。 偽装後は、横幅が4ピクセルで下の方が砂嵐状の画像と同名のtxtを生成します。 txtの中身は、元ファイル名とファイルサイズ(バイト)があります。(画像) 復号時にこのtxtの方を指定して復号するので、txtは必須ファイルです。 これを参照して復号ファイル名を出力しますので、 書かれているファイル名を書き換えると、そのファイル名で復号します。 勿論、中身は元のままです。 復号場所は、本体プログラムがあるフォルダに生成されます。 偽装時に一応bmp以外も指定できますが、復号出来ないので実質bmpのみです。 ちなみに、他拡張子を指定してもヘッダはbmpのままです。 bmpをバイナリエディタで覗いてみるとこんな感じです。 サンプルの元ファイルはjpgですが、bmpヘッダの後にjpgヘッダがあります。 元データの最後まで平文状態であり、その後最後までFFで埋められています。 この部分を切り出して保存すると、無事復号出来ます。 |
|
| Deaces | |
| 偽装タイプ | ※プラグインファイル(拡張子dps)導入によって実行可能 BMP忍者→埋込 整形専門家 →偽装・偽装分割 分割さん→分割 |
| 偽装後の拡張子 | BMP忍者→bmp 整形専門家 →jpg、gif、png 分割さん→数字連番、結合.exe |
| 偽装後の画像等 | 不定 |
| 対応ツール | BMP忍者→Melt it!、PINJA 整形専門家 →不明 分割さん→単純分割に対応したツール |
| 通称・愛称 | 不明 |
| 基本的にこのツールは総合アーカイパです。 11種類程度の書庫を扱えます。「FrozenMoon」の後継ツールです。 で、このサイト的にはプラグインによって拡張される偽装関係の機能を取り上げます。 「BMP忍者」 任意のファイルを24ビットbmpに埋め込みます。 Bremenと同じように、埋め込み後も元ファイルと同一サイズで手強いです。 Melt it!とPINJAが反応しますが、これも「やってみないと判らない」系ですね(汗 尚、PINJAは完全互換との事ですので、逆にPINJAでBMP忍者を作成出来ます。 (PINJAではpngでBMP忍者形式という、いわゆる「PNG忍者」という保存形式もあります。 こちらはPINJAのオリジナルなので、BMP忍者では復号不可です。) 「整形専門家」 任意のファイルをjpg、gif、pngに偽装します。 サイズ指定をして分割も出来ます(同時に使用出来るダミー画像は1種類のみです)。 分割時のファイル名は、xxx.jpg(任意指定した保存ファイル名)、xxx001.jpg、xxx002.jpg〜 というように連番3桁の数字が付加されます。 このプラグイン最大の特徴は、「パズル付きで作成」を選択出来ることです。 復号時に出題されるパズルに正解しないと復号出来ないように偽装出来ます。 選択出来るパズルのタイプは3種類で、 トゥエンティーファイブ (1〜24の数字を左上から右下まで順番に並べ替える) ライトファイター (全てのマスを■にする。選択したマスとその上下左右が同時変化する) ゲットナンバーマン (設定されている4桁の数字を推理する) という内容です。 「分割さん」 ファイルを分割します。 分割されたファイルの拡張子は.000からの数字連番で、形式は単純分割です。 このプラグインで分割すると「結合.exe」というファイルが生成されます。 通常はこのファイルを実行して結合させますが、出所不明のexeを踏みたくないという方は、 単純分割に対応したツールで結合してみるのも一つの手です。 偽装関係のプラグインでは、「猫缶解凍 plug-in」もあります。 猫缶で偽装されたファイルを偽装解除します。 (但し、html形式には未対応との事です。) 他には、 マルチメディアファイルの再生 777書庫、rk書庫の取扱 拡張子判別 icoをbmpに変換 exeやdllからico、cur、bmp等を抽出 マルチメディアファイルの再生 ファイルの16進ダンパー ファイルのCRC32、CRC16表示 などの幅広いプラグインが発表されています。 |
|
| DivCat | |
| 偽装タイプ | 分割 |
| 偽装後の拡張子 | 数字連番、(分割状況により)exe |
| 偽装後の画像等 | なし |
| 対応ツール | 分割状況により、単純分割に対応したツール |
| 通称・愛称 | 不明 |
| ファイルを分割します。 ウイルスやデータの改竄をチェック機能もあります。 基本的には単純分割ですので、単純分割に対応したツールでも 分割状況によって結合出来ます。 拡張子は、000からの連番となります。 自動連結を選択して分割すると、先頭ファイルはexeになります。 exe内をバイナリエディタで覗くとこんな感じです。 ツール名も見えますね。 以下の分割ファイルの拡張子は、001から始まります。 exe実行にて結合します。 「同じ名前にする」がチェックされていない時,D&Dすると、 元の名前はそのファイルになります。 同時に、元の名前がディレクトリパスと拡張子を除くファイル名が8文字未満か、 8文字を超えるなどのロングネームの時は、 このファイル名の最後にCを付けて変更後のファイル名とします。 ファイル名が8文字ちょうどの時は、最後の文字をCに入れ替えます. exeのアイコンは、元ファイルが関連付けされているプログラムを取得して付加します。 任意に変更も出来ます。 結合後に元ファイルの自動実行も設定出来ます。 例えば分割前の元ファイルがzipだった場合、 結合後に関連付けされているアーカイパを起動して自動解凍するようにも設定出来ます。 exeの最初の部分は結合プログラムですが、 バイナリエディタで覗くと分割した先頭ファイルも含まれています。(画像) 49,408バイト辺りまでが結合プログラムで、それ以降は分割された先頭データです。 この結合プログラム部分を削除して単純分割に対応したツールを使用しても ちゃんと結合出来ました。 但し、分割サイズによっては、拡張子001が先頭ファイルとなるようですので、 一概に49,408バイト辺りまでというのは断言出来ませんのでご注意下さい。 |
|
| Dolphin PackIt! | |
| 偽装タイプ | 分割 |
| 偽装後の拡張子 | dp1、lzh |
| 偽装後の画像等 | なし |
| 対応ツール | (状況により)Melt it !、詩子様、RarUty、Malty |
| 通称・愛称 | 不明 |
| UNLHA32.DLL(別途入手)を利用して、ファイルを圧縮・分割します。 「分割しない」を指定すると、直接lzhに圧縮のみします。 このツールはフロッピーディスクへの分割を前提にしています。 「フロッピーに分割」を指定すると、拡張子dp1となります。 しかし保存先のデバイスをフロッピーディスクドライブ以外に指定すると、 分割はせずにdp1形式に変換のみして分割をしません。 分割されたデータは、[設定名称].dp1という様に全て同じファイル名です。 フロッピーディスクというリムーバブルなメディアへの分割を前提しているので このようになっているのでしょう。 ちなみにどのファイルから実行しても、ヘッダに順番情報があるようですので ちゃんと結合出来るようです。 バイナリエディタで覗くとこんな感じです。 分割された各ファイルとも、先頭から10バイトがdp1形式のヘッダのようです。 先頭ファイルの場合は、その次にlzh書庫(level5)のヘッダである「-lh5-」が見えます。 (但し、「-lhd-」とかの場合もあるようです。) 各ファイルの先頭10バイトを削って、順番を間違えずに単純結合して、 拡張子をlzhにすれば復号することが出来ます。 Melt it !などの比較的力業系(笑)のツールであれば、 分割していない状態であれば復号出来るようです。 尚、このツールはディレクトリ構造まで圧縮時に保存しますので、 圧縮時のフォルダが深い場所にあると、解凍時に結構ディレクトリを掘らないと 目的のファイルに辿り着けません(汗 |
|
| DOMOD | |
| 偽装タイプ | 偽装分割 |
| 偽装後の拡張子 | jpg、txt、re(再分割ファイル、1.10以降)、html(一覧表示用) |
| 偽装後の画像等 | デフォルトは加護亜衣の画像(20種類あり) か バージョンによりフェラーリのプラモの画像(←2007.2.21追記) (但し、プラグイン作成により追加可) |
| 対応ツール | タマ。 |
| 通称・愛称 | 不明 |
当環境では何故か「場合によって分割出来るけど結合が出来ない」という状況のため、 記載内容に不備がある可能性がありますので、 参考程度に閲覧下さい(;´Д⊂) /////////////////////////////////////////////////////////////////////// (2007.2.21追記) ↑打ち消し線部の記述についてですが、調べてみたら、2ちゃんユーザートラップのようです。 ○IEのお気に入りに2chがある ○IEのお気に入りにあるURLに「2ch」又は「2CH」の文字がある ○PCのディスクトップ上に「えまのん」又は「えのまん」又は「ギコナビ」のEXEファイル又はショートカットがある 上記のいずれかの条件で発動するらしいです。 【(※出典) ★★★ 偽装解除という名の雑談スレ Vol.46 ★★★ http://page.freett.com/bobota/060223/1048774071.htm の525さんと538さん】 で当環境では、Ver0.3が「このPCでDOMODを起動することはできません。」で起動不可、 Ver1.10が起動出来るが結合出来ずという結果だったのですが、 IEのお気に入りを取り敢えず全部消してみたら(だって文字列入ってるのを探すの('A`)マンドクセw) うまく動作しました。(但しVer0.3は相当起動に時間がかかりました) 出典元に回避方法も記載されているので参考にして下さい。 但し実行ファイルの書換は、リバースエンジニアリング行為に該当する恐れがあるので(ry また、バージョンによってうまくいくかどうかもわかりません。(当方は実行していません) /////////////////////////////////////////////////////////////////////// ファイルを偽装分割します。 デフォルトのダミー画像は加護亜衣さんの画像ですが、 ツール上でプラグインファイル(拡張子pin)を簡単に作成出来るため、 任意のダミー画像を作成・利用出来ます。 (1プラグイン辺り最大99999枚までダミー画像を格納可) (2007.2.21追記) また、バージョンによっては、フェラーリのレーシングカーのプラモ画像も添付されているようです。 Ver1.00以降とそれ以前のVerは互換性がないとの事です。 pinファイルは共通して使えるようです。 分割後の拡張子をtxtにも出来ますが、中身は偽装後のjpgそのままです。 このツールは、必ず画像を伴う形での分割設定のみのようです。 Ver1.10より再分割が可能となりました。再分割ファイルは拡張子reです。 バイナリエディタで覗くとこんな感じです。 ヘッダが「DOMOD」になっています。 分割時にjpgと一緒に「index.html」と付帯するhtmlを作成する事も出来ます。 (この機能はjpg選択時のみ。txt分割時は不可) まるでホームページのような体裁を取っていて、偽装画像を一覧出来ます。(英語Verも作成可能) index.html内のリンクを踏むとPicture's Roomにジャンプします。 垢取ってそのまま揚げると(ry ・・・うん、親切設計ですね(^(家)^;) 分割時にパスワード設定が出来ますが、 このツールはパス入力の有効回数を設定出来(1〜255、未入力時は3)、 結合時に設定回数を超過した場合に、以下の処理をするように設定出来ます(((( ;゚Д゚)))ガクブル ○関連ファイル(分割ファイル)の削除 ○結合不能にする ○脅しだけをかける このツールの分割情報は最終ファイルに埋め込まれます。 (reファイルとは全く別物です。結合画面でreファイルを突っ込んでも反応はありません) バイナリエディタで覗くとフッタに「DOMOD」とあるという情報もありますが、 (2007.2.21追記) 当方Ver0.3で確認出来ました。(画像) 最終ファイルにのみ付きます。 この特徴はVer1.10にはありませんでした。 当環境ではバイナリエディタ上で判別に結びつく情報は見つけられませんでした。 しかしフッタ部分が分割情報で多分間違いないと思います。 なんとなくそれっぽい匂いがします。(画像) この偽装には「タマ。」が対応しています 分割時から既にダメなためかもしれません・・・(´;ω;`) タマ。上では「DOMOD1.10」としてちゃんと認識・判別しますが・・・(画像) 但し公式には、このVer(1.10)には未対応という事になってるようです。(画像) (2007.2.21追記) 当方手持ちのVer0.3とVer1.10で作成したもの、共にタマ。でOKてす。 しかしVer0.3は起動出来なかったので検証出来ないとしても、 分割出来たVer1.10が以前はタマ。で結合出来ていなかったということは、 2ちゃんトラップ時は不完全な分割動作をするという事でしょうかねぇ? |
|
| E |
| Easy SteGON-G | |
| 偽装タイプ | 埋込 |
| 偽装後の拡張子 | bmp、png |
| 偽装後の画像等 | 不定 |
| 対応ツール | 不明 |
| 通称・愛称 | 不明 |
| ファイルをbmp、pngに埋め込みします。 埋め込み前後でファイルサイズは変わりません。 パスワードで埋め込んだ内容を暗号化しているそうです。 バイナリエディタで覗いても目立った違いはあまり見当たりません。 ファイルの前半辺りにちょこちょこ違いが見受けられます。 |
|
| ED | |
| 偽装タイプ | 暗号化 |
| 偽装後の拡張子 | enc、全て |
| 偽装後の画像等 | なし |
| 対応ツール | 不明 |
| 通称・愛称 | 江戸 |
| ファイルまたはディレクトリを暗号化します。 アルゴリズムは、TwoFish、Rijndael、GOST 28147-89 から選べます。 Ver3.0以上とVer2.1以下との互換性はないとのことです。 セキュリティレベルは4段階で選べます。 ちなみに、セキュリティレベル4は国家機密級で、パスワードは20文字以上だそうです(^^; パスワードのヒントを付加できる機能もあります。 「抹消ゴミ箱」という機能があります。 一旦ファイルを無効なデータで潰してから削除します。 そうするとそのファイルは、復活ツールを使用したファイル復活が出来なくなります。 暗号化後のファイル名は、[元ファイル名].[元拡張子].[enc]という形になり、 デフォルトの拡張子は「enc」です。 任意の拡張子にすることも出来ますが、ファイルの内容はencと一緒です。 また、ファイル名をランダムな文字列にすることも出来ます。 バイナリエディタで覗くとこんな感じです。 アルゴリズムの種類等に関わらず、「ENCRYPTED BY V3.X ED」というように、 ヘッダにEDの名前とVerがあります。 |
|
| サイトトップに戻る | 次ページに進む |