Sponsored Link
FakeRAR
偽装タイプ 偽装
偽装後の拡張子 jpg
偽装後の画像等 不定
対応ツール Su昆布などのリネームツール(w
通称・愛称 不明
rar(r00〜のボリューム(分割書庫)を含む)を任意のjpgに偽装します。

偽装後のデータ構成は、[ダミーjpg]+文字列"Fake"+[rarファイル]を結合した状態です。
ファイルサイズも、jpgのバイト数+"Fake"の4バイト+rarのバイト数の合計となっています。
よって判別材料としては、"Fake"とrarのヘッダである"Rar!"の連続した
「FakeRar!」という文字列がバイナリエディタで覗くと出現します。 (画像

さてこのFakeRAR、偽装したものを復号する機能がありません^^;
じゃあ、どうやって戻すの?ということになりますが、ちょっと変わっています。
偽装後のファイル名は、元ファイル名rar.jpgという形式になります。
この拡張子jpgを消してrarの前にピリオドを移動して、元ファイル名.rarにリネームします。
これで準備完了です^^;。これをWinRARにかけると無事解凍出来ます。
ファイルのヘッダにjpgがまるまる残っていますが、ちゃんとrarファイルとして認識されます。
(ちなみに作者様は、Su昆布を推奨リネームツールとして挙げていらっしゃいます。)

これはどういうことかというとどうもrarの仕様のようで、128バイト分のデータを読み飛ばして
自己解凍rar書庫として扱うようなのです。(画像
FakeRARで作成時にも、「128KB以上の画像ファイルは使用しない」というチェックがあり、
通常はこれをチェックしたままで作成します。
ちなみに128バイト超のjpgを使って件のチェックを外して作成してみましたが、
上手く解凍出来ませんでした。
F.C. SAKURA
偽装タイプ 偽装
偽装後の拡張子 bmp
偽装後の画像等 砂嵐画像
対応ツール Melt it!、支天輪、詩子様、うめ〜このみかん、WARUty、
(当環境では確認出来ないが、Thawingの旧Verの報告あり)
(Maltyは当環境では判別するも解除不可)
通称・愛称 ぎゅっとね、ギュッとね、さくら
フォルダ単位で砂嵐画像のbmpに偽装します。
要VisualBasic5.0ランタイムです。
ファイル単位で偽装したい場合は、旧Verの0.8の方がやりやすいそうです。

「うめ〜このみかん」がこの形式の埋込・取出共に対応していますので、
このツールがなくても「うめ〜このみかん」で偽装出来ます。

バイナリエディタで覗くとこんな感じです。
ヘッダに「CRW2」という文字列があります。
その後に元ファイル名もあります。

このツールでは偽装したbmpファイルの事をCrowファイルと呼んでいます。
手持ちのヴァージョンは1.25ですが、Crow2 Formatとなっています。
多分その略語なのだと思います。
Ver1.25では使用こそ出来ませんが、Crow3 Formatの欄も用意されています。
Crow3 Formatが現在使用出来るかどうかは、当方は未確認です。
File++
偽装タイプ 埋込
偽装後の拡張子 全て
偽装後の画像等 不定
対応ツール 格納データがcab圧縮されていれば、Melt it !、RarUty
通称・愛称 不明
ファイルに埋め込みをします。
要VisualBasic5.0 Runtime Libraryです。
また、別途入手のCab32.dllを利用して、格納データの圧縮も出来ます。
バイナリエディタで覗くと、cabのヘッダである「MSCF」が見えます。(画像

フッタをバイナリエディタで覗くとこんな感じです。
作者様のHNである「U-Nai」という文字列があります。

この偽装形式は、cab圧縮をかけずに埋め込むとマルチ偽装解除ツールに引っ掛からないですが、
cab圧縮をかけたデータだと、Melt it !やRarUtyといった力業系のツールが反応して解除出来ます。
FileFaker
偽装タイプ 埋込
偽装後の拡張子 全て(デフォルトは、bmp、cab、gif、jpg、lzh、mid、png、zip)
偽装後の画像等 特徴は後述
対応ツール タマ。
通称・愛称 FFK
ファイルを偽装(埋め込み)します。
デフォルトで8種類の拡張子のダミーが準備されていますが、
実行ファイルディレクトリ下のimpフォルダにダミーを追加すると、
他の形式の拡張子にも偽装可能です。
パスワード設定が出来、FFK・FFK2・FFK3と3つの形式を選択出来ます。
要VisualBasic6.0ランタイムです(SP5推奨)。

デフォルトのダミーの特徴は以下の通りです。
bmp 拡大 木目調の四角い背景に「F−F−K」の文字の画像
jpg
png 拡大 白地に黒縁の四角い背景に、青っぽい文字で「F−F−K」の文字の画像
gif 拡大 四角い黒地に青・赤・緑の三つの球体の背景、
「Is this the fake file that you've search for?」の文字の画像
mid --- 約3秒のピアノのドミソ(C4 E4 G4)の和音
zip --- 解凍すると「ふぇいくですか?FileFaker」という内容の「readme.txt」
cab --- 解凍すると、前述の特徴を持つ「fake.bmp」「fake.gif」「fake.png」
lzh --- 解凍すると、前述の特徴を持つ「fake.jpg」「fake.mid」

バイナリエディタで覗くと、以下の特徴があります。
FFK 拡大 「-FFK-」という文字列が途中に必ずある。
FFK2 --- 明らかな特徴は発見出来ず。
FFK3 拡大 「暗号化って難しいよね。」か、
それが一部文字化けしたような文字列が繰り返し出現する場合がある。
(パスを掛けていない場合のjpgなどが特に顕著)
 
FileHider
偽装タイプ 埋込
偽装後の拡張子 ほぼ全て(但し、zipやtxtなどは不可)
偽装後の画像等 不定
対応ツール パスなしであれば、Melt it!、Raruty
通称・愛称 不明
ほぼ全てのファイルに埋め込みをします。
(但し、zip等のようにファイル全体のチェックサムを取っているものや、
テキスト系のものは、ダミーに使用出来ない仕様になっています。)
ユーザー登録もありますが、しなくても特に制限はないそうです。
Ver1.02までで作成されたファイルに、
それ以降のVerで新たにファイルを追加することは出来ないそうです。

1つのファイルに最大256ファイルまでインプラント出来ます。
パスワード設定も出来ます。
(256個の埋め込みに全て別のパスワードを設定することも出来るそうです。(^^;)

パスチェックは、先頭と末尾の文字が合致していれば間違っているという判断はしないが、
取り出せたファイルは正常なものではないとのことです。

バイナリエディタで覗くと、先頭のダミーファイル部分は丸々変化はありませんが、
それ以降の埋め込みデータ部分は、元ファイルとは大分違っています。
同じ文字列が並んでいたり反復したりすることも多く、暗号化されているのかもしれません。
暗号化されているみたいだそうです。(後述)

フッタは0で大体埋められています。
注目すべきは、その前の部分に「8Iィフモ.」(38 F0 49 A8 CC D3 9B )というのが繰り返し出て来ます。
ここが判別のポイントのようです。
この56bit key を反復してフッタをXOR暗号化してあるようだそうです。
(↑情報提供は、猫△ワル男 ◆oKLssLV2YM さんです。THX! )

Melt it!とRarutyが対応していますが、パスワード付きだと上手くいかないようです。
FinBMP
偽装タイプ 埋込
偽装後の拡張子 bmp、png
偽装後の画像等 不定
対応ツール 不明
通称・愛称 不明
フルカラーbmpやpng(png埋込はVer2.xx以降可)にファイルを埋め込みます。
埋め込めるファイルのサイズは、画像の幅×高さ÷2−12Byte位だそうです。
ファイル名情報等は保存をしていないようですので、
抽出時に適当なファイル名で保存し、、後で極窓等で判別した方がよさそうです。

bmpに関しては、Bremen等と同様にファイルサイズ不変、バイナリ上も大きな変化なく、
判別は困難です。

pngに関しては、ファイルサイズに変化は出ますが、
ヘッダを見てもGLDPNG(Delphiでpngを扱うためのライブラリ)を使用しているのが判る位で(画像)、
こちらも特に大きな特徴は見つけられませんでした。
French Kiss
偽装タイプ 偽装
偽装後の拡張子 frk
偽装後の画像等 なし
対応ツール Melt it !、支天輪、詩子様、RarUty、Malty、WARUty、
lzhを扱えるアーカイバ等も可
通称・愛称 不明
lstやtxtなどのテキスト系ファイルをfrk形式に変換します。
偽装用と復元用に実行ファイルは別れています。
要VB6ランタイムとunlha32.dllです。

バイナリエディタで覗くとこんな感じです。
「frk」とありますね。

さて、このヘッダ形式、どこかで見たことがありませんか?
・・・そうです、「-lh5-」とあるのでlzh書庫(level5)ですね。
試しに、これをlzhの扱えるアーカイバに掛けてみましょう。
(アーカイバによっては、拡張子をlzhにリネームする必要があります。)
・・・無事解凍出来ました。9.frkが生成されました。
同様にどんどん解凍してみましょう。
9.frk→8.frk→7.frk→(中略)→1.frkとなり、1.frkを解凍すると元ファイルが生成されました。
lzh書庫に10回ネストされたような状態ですね。
(丁度、開いていくと中から人形が何回も出る、ロシアのマトリョーシカみたいなイメージです。)

ちなみに自分のデフォルトのアーカイバは「Lhaplus」なのですが、
解凍後に、扱える書庫形式(拡張子に関わらず)と認識出来るファイルが生成されると、
続けて解凍をするか確認してくるので、リネームなしで簡単に復号作業が出来ます。
FSMT、FSMT2
偽装タイプ 分割・埋込
偽装後の拡張子 smc(FSMT分割キーファイル)、cbs(FSMT2分割キーファイル)
分割時は全て(filetype.ini書換にて追加可能)
(デフォルトは、777、arc、bmp、cab、com、dat、dll、exe、fcd、gif、img、iso、jpg、lzh、
mac、mid、mp3、oca、ocx、pct、pcx、pdf、psd、qtx、tif、wav、wax、wvx、zipの29種類)
埋込時はドキュメント系以外の全て
偽装後の画像等 不定、若しくはなし
対応ツール 不明(当環境では不可でしたが、FSMTは「うめ〜このみかん」の報告あり)
通称・愛称 不明
当環境ではFSMT2の方が動作途中で強制終了してしまうため、
FSMT2の記述については検証出来ないため、マニュアル等による情報となっています。
記事内容は基本的にFSMTについてものとなっています。
悪しからずご了承下さいm(_ _)m
尚、明示的にFSMTを「無印」、FSMT2を「2」と表示する場合があります。

ほぼ全てのファイルに分割・埋め込みします。
要VB6ランタイムパッケージです。
無印と2とは互換性がないそうです。

最初に分割の方です。
分割後の拡張子は上記29種類ですが、filetype.iniを直接書換すると追加出来ます。
結合情報として無印はsmcファイル、2はcbsファイルを生成します。

ファイル名は、ランダムな文字列も選択出来ます。
選択しなければ、オリジナルファイル名+001からの数字連番、指定した拡張子となります。
拡張子は単にリネームのみで、各ファイル形式のヘッダが付加されたりする訳ではありません。

smcファイルをバイナリエディタで覗くとこんな感じです。
オリジナルファイル名、分割された順番に分割後のファイル名
(サンプルはランダムなファイル名で分割したものです。)、
「D22D」などの4桁の英数字はCRC16のようです。

無印で分割されたデータは単純分割形式ですので、
ランダムな文字列のファイル名であっても、smcファイルに記載された順番に並べれば
単純分割に対応したツールで結合出来ます。

次に埋め込みです。
ドキュメント系以外の全てに可との事です。
LEVEL1とLEVEL2より選択出来ます。(後述)
当環境では不可でしたが、無印は「うめ〜このみかん」で抽出出来たとの報告もあります。
2ではパスワード設定も出来るそうです。

バイナリエディタで覗くとこんな感じです。(無印)
フッタに8桁の英数字とオリジナルファイル名の情報があります。
(サンプルは数字のみのものとなっています。)
この8桁の数字は、データ内のアドレスを意味していて、
そのアドレスからの部分が埋め込まれたデータの先頭となっています。
サンプルでは495hとなっています。ではデータの495hを見てみましょう。
こんな感じになっています。
埋め込まれたbmpファイルのヘッダである「BM」が見えます。
そこからフッタにあるアドレスの英数字の直前までを切り出せば、
埋め込まれたデータの取り出しも可能です。

但し、これはLEVEL1で埋め込まれた場合で、LEVEL2だとアドレスまでは同じですが、
埋め込まれたデータ部分が暗号化されているようです。(画像

GaoEncode
偽装タイプ 暗号化・偽装・分割
偽装後の拡張子 gao、gaoe、bmp、exe、jpg、lzh、mid、wav、txt、
全て(外部データ使用時)
偽装後の画像等 デフォルトは、額にGとある顔の画像等(後述)
対応ツール 不明
通称・愛称 がお、がおえ、牛乳パック
暗号化を基本とした偽装ツールです。
暗号化アルゴリズムは、CAST-128、Blowfish、Triple DESです。
ファイルの暗号化の他に、入力した文字列を暗号化してクリップボードにコピー後、
ファイルに保存するかメーラーに送ることも出来ます。

キーとしては、文字列(ランダムな8桁の文字列も生成可)、ファイル、
作成したPCのWindowsのProductID、公開鍵などが使用出来ます。

ファイル名は、指定したものの他にランダムな文字列も選択出来ます。
また、分割時はファイル名末尾に000からの数字が追加されます。(ランダム時は除く)

アルゴリズム選択は、上記3種類の他に「暗号化しない」と「自己復号(CAST128)」が選べ、
自己復号(CAST128)を選択すると、がおえ本体がなくても実行すると復号作業が出来る
exeファイルが作成出来ます。(自己解凍型書庫のようなイメージですね。)

また、拡張子gaoeは自動再暗号化ファイルです。
復号すると 元データに関連付けされているアプリケーションで自動的に開き、
終了すると自動的に再暗号化されます。
これを利用するには、GaoeAPIのインストールと、拡張子gaoeの関連付けが必要です。

偽装時にデータ圧縮も出来ます。deflate圧縮(2種類あり)、cab圧縮、
さらに外部ファイルを利用してrar圧縮とgca圧縮も可能です。
(但し作者様はrarとgcaの方は推奨していません。)

偽装時に暗号解除キーのヒントを付ける事が出来ます。
ヒントとして、文字列と画像(150KB以下のbmpかjpg)を埋め込む事が出来ます。
(但し、自己復号(CAST-128)を選択時は、文字列のみ可。)
分割時は、基本的に先頭ファイルのみに埋め込まれます。
但し分割サイズにより、画像が後続のファイルに埋め込まれる場合もあります。

偽装後のデフォルトで準備されているダミーの特徴です。
bmp、jpg 30×30ピクセルの、額にGとある顔の画像
exe 拡大 実行すると「どうよ?夕日の向こうのマンゴスチン」のダイアログが出る
lzh --- 解凍すると、2,689バイトの「GaoEncode.cpp」(ソースファイル)
mid --- ピアノで「チャルメラ」の旋律
wav --- 摩擦音?(マニュアルでは「謎の鳴き声」)の音声
外部ファイルを利用すると、全ての拡張子に対応可です。

さて、長くなりましたがデータをバイナリエディタで覗いてみましょう。

情報隠蔽という項目をチェックすると、元ファイルの情報も暗号化します。
バイナリエディタで覗くと偽装データの途中などに元ファイル名などがありますが(画像)、
これらも暗号化してわからなくします。

拡張子gaoはダミーなしです。
サンプルは暗号化・分割・圧縮・情報隠蔽全てなしという、所謂平文状態のものです。
ヘッダとフッダに「GAOE」が付きます。(画像)(拡張子gaoeも同様。)
元ファイル名や、画像中央辺りには元データ(jpg)のヘッダも見えます。
元データのヘッダからフッタのGAOE直前までの部分が元データですので、
切り出して保存すると、復号したのと同じになります。
但し暗号化してあれば、当然こんなにうまくは行きません。

ダミーファイルを使うと「GAOE」の部分はなくなりますが、
ヘッダのGAOEの次の部分の「.M・」(A0 4D F3 A5)は残るようです。(画像
ダミーと元データの間辺りに付きます。(分割時は先頭ファイルのみ)
また、ちょっと不確実な情報ですみませんが、内部データのダミーを使うと
フッタに偽装後の拡張子のヘッダが再度出現する事が多いようです。(画像
但し、確実にどのようなケースでも出るという訳でもなさそうですので、
「可能性がある」という程度で留めてご理解下さい。
GCA2
偽装タイプ 偽装
偽装後の拡張子 bmp、gif、jpg、mp3、wav
偽装後の画像等 画像系は、1×1ピクセルの黒い点、
音声系は、再生不可か短いノイズ
対応ツール 不明
通称・愛称 不明
「GCA」というと、国産のアーカイバを思い浮かばれる方が殆どだと思います。
こちらの「GCA2」は海外の偽装ツールです。
ので、2バイト系文字のパス・ファイル名は文字化け表示となります。
gca2.exeが偽装用、gcaback2.exeが復元用の実行ファイルです。
マニュアル等は添付されていません。(まあ、あっても自分は読めないけど^^;)

インデックス用のhtmlファイルも作成出来ます。
リンクをクリックすると、偽装後の画像等を閲覧出来るhtmlです。
但し、偽装ファイルの作成と連動しておらず、使い勝手も余り良くないので、
テンプレート作成用のおまけ機能と捉えた方が良いかもしれません。
尚あくまで余談ですが、html作成時に簡単な書式設定などが出来ますが、
デフォルトの状態で作成したhtmlに記載されたリンク先(恐らく作者様URL)は既に404のため、
広告サイトを転々とジャンプし、当方のVB2006が飛び先を有害URLとして認識したりします(^^;

偽装後は、画像は全て1×1ピクセルの黒い点の画像です。
mp3は再生不可です。wavは短いノイズですが、これは無理矢理再生した意味のない音だと思います。

バイナリエディタで覗くとこんな感じです。
途中に「GCA」の文字列があり、続いてオリジナルファイル名も見えますね。
そして、その後に元ファイルのjpgのヘッダが見えます。
元ファイルヘッダ部分からファイル末尾まで切り出して保存すると、元ファイルと同じになります。
GGShuffle
偽装タイプ 暗号化(ビット処理)
偽装後の拡張子 ggs
偽装後の画像等 なし
対応ツール 不明
通称・愛称 不明
txtやlst等のテキスト系ファイルを暗号化します。
但しパスワードとかは設定出来ませんので、ビット処理の分類の方が適切かもしれません。
というか設定云々というより、必要な操作はD&Dのみです。
FFShuffleというツールの後継版で、ffsファイルの復号機能もあるそうです。

偽装後の拡張子は、元ファイル名.ggsとなり、復号後は元ファイル名_ggs.lstとなります。
テキスト内容は改行単位でシャッフルされます。

バイナリエディタで覗くとこんな感じです。
上段が変換前、下段が変換後です。

ggsファイルの拡張子をリネームしてしまうと、ggs形式として認識出来なくなります。
(極窓等も不可のようです)
ファイル名を復元出来ないツールでの多重偽装の際は避けて下さい。
GifLzh
偽装タイプ 埋込
偽装後の拡張子 gif
偽装後の画像等 不定
対応ツール Melt it !、RarUty、Malty 、その他アーカイバにより直接解凍可
通称・愛称 不明
gif画像にlzh書庫を埋め込みます
シェアウェアですが機能制限無しとの事です。

まずはバイナリエディタで覗いてみましょう。(画像)
最初にダミーのgifデータがあり、その後は00で暫く埋められ、最後にlzhデータがあります。
gifヘッダである「GIF89a」の次の部分は微妙に元ダミーデータと違いますが、ほぼ一致します。
最後のlzhデータは元データと完全一致します。
元gif+00エリア+元lzhという構成が、ほぼ平文状態で連続しています。
偽装後のデータからそれぞれgif部分とlzh部分を切り出すと、それぞれ使用出来ます。

こういうタイプはMelt it !等の力業系のツールが威力を発揮しますw
尚、アーカイバによっては直接偽装後のgifから解凍することも可能です。
手元にある有名なアーカイバでは、WinRARとLhazが直接解凍出来ました。
GIGA
偽装タイプ 暗号化・偽装・分割
偽装後の拡張子 gig(単独暗号化・偽画なし時)、
全て(分割時はデフォルトでdoc、gif、jpg、lzh、mid、mpg、pdf、png、rm、wav、wmv、zip)、
gal、lvm、rez(分割情報ファイル)
偽装後の画像等 不定(デフォルトはキダ・タローのjpg
(作成Verにより横山ホットブラザーズやアントニオ猪木の場合あり)
対応ツール 不明(rez、lvm分割時のみ、璃樹無Love Machine、及び左記の対応ツール)
通称・愛称 偽画
ファイルの暗号化を基本として、偽装分割などを行います。
基本的にこのツールを使うと要パスとなります。
(但し、後述のラブマ単純分割や璃樹無分割等だと不要)
このツールではパスワードを「呪文」と表現します。
1バイト・2バイト文字を問わずに255バイト(半角文字255個相当)までです。
暗号化レベルは3段階に設定出来ます。

デフォルトのダミー画像は、浪花のモーツァルトことキダ・タロー氏のjpeg画像です。
・・・どうコメントしてよいかわかりませんが、Good-Choice!だという事は間違いないですw
なお当方の手持ちのVerは0.71bですが、バージョンによってダミー画像が違うそうです。
Ver0.5x系が「横山ホットブラザーズ」、Ver0.6x系が「アントニオ猪木」の画像だそうです。
フォルダを指定する事によって、ダミーにはあらゆるファイルが使用出来ます。
また、格納データがjpeg形式のラブマプラグイン(dllファイル)も利用出来ます。
このツールでは、ダミー画像を「偽画」と表現します。

このツールは大きく分けて「単独暗号化」と「分割暗号化」の2モードがあります。
ボックス右下の「M」ボタンで切替します。

最初に「単独暗号化」です。単品ファイルを暗号化します。
偽画なしだと拡張子はgigとなります。
偽画フォルダを指定してダミーを付加します。
通常はダミーファイルの拡張子が付加されますが、
置換なしスイッチで元ファイルの拡張子を保持します。
バイナリエディタで覗くと、ダミー付加の有無に関わらず、
フッダに「GIG」とあります。(画像

次に「分割暗号化」です。ファイルを分割して暗号化します。
分割形式はオリジナルの「GAL」形式の他に、
璃樹無とラブマの分割形式もサポートしています。
GIGAで作成したrezやlvmは本家ツールでも結合可で互換性が保たれています。
尚、ラブマ分割の形式は、Ver1.10β2相当になります。
GIGAで分割したrezやlvmには、バイナリエディタで覗くと
「Generated by GIGA」というコメントが入っています。(画像

GAL形式分割の結合情報ファイルを覗くとこんな感じです。
ヘッダが「画偽」で始まります。(画像
別途CRCファイルも作成されます。(画像

GALファイルは、分割した最終ファイルに埋め込む事も出来ます。
(埋め込んだ他にGALファイルは別途生成されます。)
但し埋め込まれた最終ファイルは、バイナリエディタで覗いても
特に見かけ上は判別につながるコードは見つけるのが困難です。
埋め込まれた最終ファイルとそうでない最終ファイルをコンペアしても、
内容がかなり違ってしまいます。
そう言う意味では、ラブマファイルの埋め込みに似ていますね。
尚、GALファイルの抽出も可能です。
GISO
偽装タイプ 暗号化・偽装
偽装後の拡張子 exe、gif、htm、wav、zip
偽装後の画像等 32×32ピクセルの赤と黒の砂嵐アニメーションgifなど(後述)
対応ツール 不明
通称・愛称 偽装、偽装.exe
ファイルを暗号化して上記形式に偽装します。
キーは、1から4294967295までの数字です。(32ビットになりますね)

バイナリエディタで覗いてみても、このツールで偽装をしたというのが判りづらいです。
ただ、gifなどは00で埋められている部分が多かったり、
htmはソースのコメント行にバイナリが埋められているなど
独特の雰囲気は感じられるかもしれません。
またexeは実行するのに躊躇される方も当然いるハズですので、
バイナリエディタから「Thank you for running me」を検索してみるといいかもしれません。

偽装後のファイルはかなり特徴がありますので、その特徴で判別した方が賢明です。
exe 拡大 実行すると「Thank you for running me.」というダイアログ
gif 32×32ピクセルの赤と黒の砂嵐アニメーションgif
htm --- 「I am sorry, there is nothing that interests you, I think.」と表示
wav --- ザーという感じのノイズ音
zip --- 解凍すると「thank you.」という内容の「thanks.txt」(12バイト)
GNIKOMSON
偽装タイプ 分割・埋込
偽装後の拡張子 全て
(デフォルトは、avi、bmp、cab、doc、exe、gif、html、ico、jpeg、lzh、mov、mpeg、pdf、zip)
gon(分割情報ファイル)
偽装後の画像等 不定、若しくはなし
対応ツール 不明(埋込なし、且つhtml形式でなければ、単純分割に対応したツールでも可
通称・愛称 (読み方)グニコムソン
ファイルを分割したり埋め込みしたりします。
要VB5ランタイムライブラリー、MSCOMCTL.OCXだそうです。

基本的に分割ファイル名は、[元ファイル名]+[1からの連番].[選択した拡張子]です。
他に、ファイル名をダミーファイル名に揃えたり、
ファイル名を記述したテキスト系ファイルから参照させて
ファイル名を割り振る機能もあります。(いずれも拡張子は別途指定)
生成されるファイルの場所は、元ファイルフォルダ内に別途フォルダを作成するので、
ダミーファイルなどが上書きされる心配はありません。

偽装後の拡張子はボックスから上記のもの(htmlを除く)を選択出来ますが、
手動で上書入力すると自由に設定出来ます。
htmlは別にチェック箇所があり、これにチェックすると初めてhtmlは選択出来ます。
ただ、こちらも上書入力で自由に拡張子は設定出来ます。
htmlのチェックはちょっと独特の動作をしますので、後で説明致します。

生成される結合情報ファイルは、拡張子gonです。
このツールの分割は、付加された拡張子に関わらず基本的に単純分割形式です。
ので、gonファイルがなくとも単純分割に対応したツールでも結合可です。
(但し、後述の埋め込み及びhtmlの付加がある場合を除く。)

埋め込みをしていないgonファイルをバイナリエディタで覗くとこんな感じです。
オリジナルファイル名や分割後のファイル名、ファイルサイズなどあります。
(正式にはちょっと違う部分もありますが、把握しやすいようこのように記述します。)
8桁の英数字はCRC32かと思いましたが、計算させたらちょっと違うようです。

埋め込みは、[ダミーファイル]+[単純分割されたデータ]という形式です。
但し正確に言うと、ダミー部分は最後の1バイトを削除したものです。
バイナリエディタで確認してみましょう。(画像
左側がダミーファイルのフッタで、右側がそれを付加した分割ファイルです。
ダミーファイルの最後1バイトの「;」(3B)がなくなり、
分割した先頭ファイル(この場合zip)のヘッダである「PK」が続いています。

さて、ここで埋め込みをした場合のgonファイルを見てみましょう。(画像
左側が埋め込みしたファイルで、右がgonファイルです。
gonファイル側の2行目に"test1.lzh"とあります。
その次の「1173」は使用したダミーファイルのオリジナルのバイト数で、
次の「286720」は埋め込まれている分割データのバイト数です。
画像最下段中央(バイナリエディタのフレーム部)に「1172」とありますが、
これは付加されたダミー部分を反転選択してカウントさせたものです。
確かにオリジナルのダミーより1バイト少ないですね。
そこで先頭から「1,172バイト」削除してみると、残った分割データ本体は
286,720バイトになります。これをまず保存します。
同様に「test2.lzh」も、gonファイルに書いてある「1173」から
1バイト引いた「1,172バイト」を先頭から削除して保存してみます。
これでプレーンな状態の単純分割ファイルになりました。
後はこれらを単純分割に対応したツールで結合するだけです。

ここでやっと、上の方で勿体ぶっていたhtmlについての説明です。(笑
このhtml指定は独特の偽装動作をします。
htmlでは「<!--  -->」で囲んだ範囲はコメント行として扱われます。
これを利用して、コメント行内にデータを埋め込んでいます。(画像
そしてフッタまできたら「-->」でコメント行を締めくくり、
「NO SMOKING」を最後に付加します。(画像
このhtmlをブラウザで閲覧すると、最後の「NO SMOKING」のみが表示されます。
htmlにチェックをしてあれば、拡張子をhtml以外に直しても、この動作は有効です。
ですので、ヘッダがダミーのbmpでフッタに「NO SMOKING」とあるaviファイルとか、
色々訳の分らない偽装も出来ます。(笑
ちなみにhtmlチェックをした分割埋め込みファイルも、
上記のヘッダよりのダミー削除手順+フッタの「 -->NO SMOKING」
(0D 2D 2D 3E 4E 4F 20 53 4D 4F 4B 49 4E 47)の14バイトを削除すると、
プレーンな単純分割ファイルにすることが出来ます。
後は(略

ちなみに力業系のツールにかけると、一応反応があるものも結構あります。
Melt it !辺りになると、梅葡萄と認識して動作し、
「ますかっとではありません」というlog.txtも作成します。

HamaEvolution
偽装タイプ 分割・偽装
偽装後の拡張子 全て(デフォルトはhtml)
偽装後の画像等 黒い背景に赤い文字で「工事中につきしばらくお待ち下さい。」というhtml
対応ツール Melt it!、Raruty(Maltyは認識するもうまく動作せず)
通称・愛称 はまえぼ
ファイルを分割・偽装します。
偽装後のファイル内容はhtmlになりますが、option→拡張子の内容を変更すると
任意の拡張子名に出来ます。但しあくまで中身はhtmlのままです。

余談ですが、上部プルダウンメニューの他にもウィンドウの畳まれた右側を開くと、
拡張子を変更するプルダウンがあり、拡張子が8種類プリセットされていて、
「拡張子変更」というボタンで標準設定から変更が出来るようになっていますが、
当環境では何故か分割結果に反映されません。(´・ω・`) ショボーン

他に「License Mode」というのがあり、22バイトのPC名と8桁の英数字のついた
拡張子licファイルも発行されていますが、当方は使い方がよく解りません。(;´Д⊂)
また、URLリスト作成や、zip等へのファイル圧縮機能もあります。
(但し圧縮は外部dllに依存しているようで、対応dllがないと不可のようです。)

生成されたhtmlはブラウザで実行すると、黒い背景に赤い文字で
「工事中につきしばらくお待ち下さい。」と表示されます。
(list用htmlもデータ用htmlも共通です。)

バイナリエディタで覗くとこんな感じです。
コメント行内にデータが埋め込まれています。
またコメント行の先頭には必ず「ConnectHamaL」と付加されます。
Hermit
偽装タイプ 埋込
偽装後の拡張子 全て(デフォルトは、gif、jpg、lzh、png、psd)
偽装後の画像等 不定
(デフォルトは、白地に黒の筆記体で書かれた「Hermit」の文字画像
または、それが入っているlzh)
対応ツール Melt it!、支天輪
通称・愛称 隠者、隠修士、じじい
あらゆる形式のファイルに埋め込みをします。
埋め込み後は、デフォルトで「Hermit」と書かれた上記形式の画像か、
解凍するとその画像(hermit.jpg)が出現するlzhです。
実行ファイル配下の「Implant」フォルダにファイルを置くと、
ダミーファイルとしてあらゆる形式が追加利用出来ます。
(ダミーファイルフォルダのパスは指定変更可能です。)

「ファイルネームは変更しない」という設定があります。
これは例えば、元ファイルがjpg、ダミーファイルがpngだとすると、
pngヘッダをしたjpgファイルという結果になります。
(表示内容はpngの内容が表示されます。)
他に、パスワート設定やキーファイル設定も出来ます。
CRCリストの出力も可能です。

バイナリエディタで覗くとこんな感じです。
「hermit」の文字列があります。次にオリジナルファイル名も見えます。
(直前のデータ内容によっては、「h」が欠けて見える場合もあります。)
但し、「Magician偽装を隠蔽」にチェックをして偽装すると、
その部分はわからなくなりますのでご注意下さい。(画像

「Hermit」を翻訳すると「隠者」となります。
通称・愛称の「じじい」というのは、「隠者」→「ご隠居」→「じじい」
ということかもしれませんね^^;
HJSplit
偽装タイプ 分割
偽装後の拡張子 001からの連番
偽装後の画像等 なし
対応ツール 単純分割に対応したツール
通称・愛称 不明
海外産のファイル分割ツールです。分割形式は単純分割のみです。
分割したファイル名は、[元ファイル名].[元拡張子].[001〜連番の拡張子]です。
他に機能としてはファイルコンペアやチェックサムを取ったりも出来ます。

(´-`).。oO(他になんか書くネタないかなぁ)

あ、そうだ!
このツールは、freebyteというフリーソフト関係などを扱う海外サイトが
様々なプログラマと共同で作成したそうです。
そのため多彩なプラットホームに対応していて、
Windows、マック、リナックス、MS-DOS、OS/2、
そして、javaやアミーガにも対応しているそうです。(更に細かい種類あり)
ビバ!アミーガ!(゚∀゚)ウヒョー ←(ただの発作ですので気にしないで下さい。)


【2006.12.22追記】

先日、当方のアンチウイルスソフト(トレンドマイクロ(以下TM)社の「ウイルスバスター(以下VB)」)を
2006から2007にバージョンアップしたところ、
このツールの実行ファイル「hjsplit.exe」がスパイウエアの疑いありとして検出されました。
検出名は「EXPL_Hackpass」です。(スクリーンショット)
このVB2007は、同社のスパイウェア対策専用ソフト「スパイバスター2006」の機能が統合され、
スパイウェア対策機能が前バージョンよりも強化されています。

但し、TM社のウイルスデータベースに、「EXPL_Hackpass」の詳細情報は現在該当なしです。
スパイウェアの判定には、ベンダーの考え方・姿勢等大変微妙なものを含んでいます。
ここでは私見は避けてこの現象のみの報告と致します。
このツールの使用判断は、皆様に委ねたいと思います。

TM社のウイルスデータベースページ
HSP de N-JAM
偽装タイプ 偽装
偽装後の拡張子 jpg、全て(但し中身はjpgと全く同じ)
偽装後の画像等 CPUクーラーの画像
対応ツール 不明
通称・愛称 CPU、CPUクーラー
jpeg画像に偽装します。ダミーはCPUクーラーの画像です。
このダミーはnjam.dll内のデータで外部ファイルを別途指定出来ないので、
ダミーは画一したこの画像のみとなります。

ファイル保存の際、一応jpg以外の拡張子を付ける事も出来ますが、
他拡張子を指定しても中身はjpgのままで、単にjpgからのリネームとなります。

バイナリエディタで覗くとこんな感じです。
ヘッダに「Ducky」という文字列がありますが、
これはAdobe社のPhotoshop等の一部のアプリケーションの
「Web用に保存」コマンドで作成されたファイルに付加されるもののようですので、
偽装判別に直結する情報ではありませんのでご注意下さい。
(コラムを参照下さい)

偽装後画像の先頭から3,271バイトまでがダミー画像のデータです。
バイナリエディタで覗いた画像
それ以降のデータはファイル毎に不定であり、
元データに直結する情報は見つけられませんでした。
単純にjpgを被せただけではなく、なんらかの暗号化がなされていると思われます。
よって、ここは単純に「CPUクーラーの画像」だけで判別した方がよさそうです。
HTMD
偽装タイプ 分割・偽装
偽装後の拡張子 htm(分割情報ファイル)、html(分割データファイル)
(bat分割時は、bat、及び全て)
偽装後の画像等 なし(ダミーhtmlの記述によっては不定)
対応ツール 不明(bat分割時は、単純分割に対応したツール)
通称・愛称 不明
ファイルをhtml形式に偽装分割します。
htmが分割情報ファイルで、htmlが分割データファイルになります。
<!--  -->>のコメント行を使ってデータを埋め込みします。

分割モードは大きく分けて次の3つがあります。

(1)HTMLテキスト
テキストボックスに入力した内容(文章)を取り込んで表示させるように作成します。
<br>や<b>等のタグも使用出来ます。(画像

(2)テンプレートフォルダ(埋め込み)
別途用意したhtmlファイル(2kbまで)をテンプレートとして内容を取り込んで作成します。

(3)テンプレートフォルダ(フレーム)
別途用意したhtmlファイルをFRAMESETタグを使って表示させるように作成します。
2番目との違いは、直接ダミー内容を取り込まずに間接的に表示させる点です。
そのため、分割後のファイルと一緒のフォルダに参照させるファイルが存在する必要があります。
しかし逆に考えると、参照させるファイルの内容を書き換えさえすれば、
表示される内容も分割ファイルを弄る事なく変更する事が出来ます。

batファイルで結合出来るように分割も出来ます。(内容は単純分割形式)
分割後のファイル名は任意の拡張子を設定出来、
任意の位置に0000からの4桁のカウンターが挿入されます。
batファイルをテキストエディタで覗くとこんな感じです。
  >NUL
  >結合完了
  >右上の×ボタンを押して終了してください。
という記述が特徴です。
他に再分割やURLリスト作成機能もあります。

では、バイナリエディタで覗いてみましょう。
最初に分割情報ファイルのhtmです。(画像
「HTMD Version 3.10」というのが付加されます。
尚、このバージョンは作成ツールのverでなく、使用するHTMD仕様のverとの事です。
続いて元ファイル名、ファイルサイズ(byte)、CRC32値があり、
以下分割後ファイルで同様の内容になっています。

先程のテンプレートフォルダ(フレーム)形式だとこんな感じです。
FRAMESETタグの記述がありますね。
以下は同様です。

分割ファイルのhtmlの方はこんな感じです。
<!-- と改行コード2バイト分の次からが分割されたデータです。(この場合はzip)
フッタは-->のコメント行終了の直前までが分割データでその間は平文状態です。
なので、その間を切り出して保存し、単純分割に対応したツールで結合して
拡張子を判別してリネームすれば復号が可能です。

尚このツールは、「広島総合銀行のマウスパッド」でも動作確認されているそうです(^^;

incpicker
偽装タイプ 偽装(埋込)
偽装後の拡張子 bmp、png(以上、画像系ダミーのみ)、wav(wavダミーのみ)
偽装後の画像等 不定
対応ツール 不明
通称・愛称 不明
ファイルを上記形式に偽装します。
作者様は「ファイル組み込みソフト」と表現されています。
所謂埋め込み偽装とは若干動作が違うように感じますので、
ここでは「偽装」に分類させて頂きます。

マニュアルで「対応している形式」と表記されているのは以下の通りです。

JPEG .jpg .jpeg
MAG .mag
BMP .bmp
PNG .png
WAVE .wav

これは保存形式という意味ではなく、
「ダミーに使用出来る形式」という意味のようです。
確認のため、上記形式とgifで総当たり的にファイルを生成してみました。

bmp jpeg jpg mag png gif wav ←保存形式
bmp × × × × ×
jpeg × × × × ×
jpg × × × × ×
mag × × × × ×
png × × × × ×
gif(説明に表記なし) × × × × ×
wav × × × × × × ※全てヘッダはwav形式
↑ダミー内容

生成は全ての組み合わせで出来ましたが、Xは復号出来なかったものです。
マニュアルでは表記されていなかったgifもダミーとして使えました。
画像系ダミーは、bmp、pngの保存のみがダミー表示・復号可能でした。
他の形式の保存ではヘッダが付加されず、復号も不可でした。
wavダミーでは、全ての保存形式でwav形式のヘッダが付加されますが、
復号可能なのはwav保存のみでした。

パスワード設定や内蔵データ圧縮も出来ます。
これらを設定しないと、旧バージョンとの互換データになるそうです。
組み込むファイルのサイズは、最大128MB未満だそうです。
旧バージョン互換データは16MB未満だそうです。

データをバイナリエディタで覗いてみましたが、
ツール特定に直結するものは見つけられませんでした。
Inpei
偽装タイプ 暗号化
偽装後の拡張子 ipi
偽装後の画像等 なし
対応ツール 不明
通称・愛称 不明
ファイルをipi形式に変換します。
ウィンドウにD&Dというインターフェイスで、
複数ファイルも同時に変換可能です。
(まとめて1つのファイルにする、という意味ではありません。)

バイナリエディタで覗くとこんな感じです。
特にこのツールに特定出来るものは見つけられませんでした。
拡張子名で判断するのが吉のようです。
尚、拡張子をリネームしても、このツールは復号可能です。

Japango
偽装タイプ 暗号化
偽装後の拡張子 不定
偽装後の画像等 なし
対応ツール 不明
通称・愛称 不明
ファイルを俳句や短歌等をキーにして暗号化します。
但し内容や、文字数は5+7+5や5+7+5+7+7にこだわる必要はありません。
むしろ重要なのは、俳句は3文節、短歌は5文節に別れているという点です。
[暗号+]ボタンでキーの加算、[暗号−]ボタンでキーの減算をします。

アルゴリズムを整理するとこんな感じになるようです。( BAL1.1 (BnnAngo Level 1.1))
----------------------------------------------------------------------
   鍵の最終1バイトを、変換元データの先頭と最終の1バイトにそれぞれ加算(or減算)。
   鍵の最終1バイト以外を、変換元データの先頭から加算(or減算)していき、
   変換元データ最終まで繰り返す。
   (16進数の桁上がり等は考慮せず、常に2桁固定とする。)

   鍵は散文で1種類(1文節)、俳句で3種類(3文節)、短歌で5種類(5文節)の鍵とする。
   俳句や短歌等の鍵が複数ある場合は、上記を鍵毎に繰り返し加算(or減算)する。
----------------------------------------------------------------------
・・・これだけではよく分らないと思うので^^;)、実際に変換した例を挙げます。
長くなったので別テキストにまとめました。こちらを御覧下さい。
JD Tools
偽装タイプ 暗号化
偽装後の拡張子 jpz
偽装後の画像等 なし
対応ツール Melt it !、RarUty、(当方未確認→)JPEG Directシリーズ
通称・愛称 不明
指定フォルダ内にあるjpegファイルを暗号化します。
拡張子jpzファイルが生成されます。
暗号化アルゴリズムはBlowFishとのことです。
パスワードは半角で8文字以上必要です。

バイナリエディタで覗いてみましたが、
特にツール特定に結びつく情報は見つけられませんでした。
暗号化後でもバイナリサイズに変化はないようです。
拡張子jpzで判断した方がよさそうです。

尚、このフリーソフトとして公開されているJD Toolsには
復号する機能はありません。作りっぱなしです^^;
(「JD Tools Ver.2 は JPEG Direct Annexに内蔵されています。」との事。)
復号する場合は、シェアウェアのJPEG Directシリーズが必要だそうです。
自分は導入していません。
J-FileCutter
偽装タイプ 分割
偽装後の拡張子 jfc(分割情報ファイル)、001からの連番(分割ファイル)
偽装後の画像等 なし
対応ツール 単純分割に対応したツール
通称・愛称 不明
ファイルを分割します。
分割後のファイル名は、[元ファイル名].[元拡張子].拡張子となります。
付加される拡張子は、jfcが分割情報ファイル、001からの連番が分割ファイルです。
分割形式は単純分割ですので、単純分割に対応したツールで結合可能です。

jfcファイルをバイナリエディタで覗いてみるとこんな感じです。
・・・なんというか凄くシンプルですね^^;)
Jydivide
偽装タイプ 分割
偽装後の拡張子 d01〜の連番、exe(自己復号型の先頭ファイル)、
000若しくは001〜の連番(Type0時)、不定(Type0の先頭ファイル、但し要設定)
偽装後の画像等 なし
対応ツール RarUty(先頭ファイルであれば全て可)、Melt it !(自己復号型以外可)、
支天輪(Type0のd01ファイルのみ)、単純分割に対応したツール(Type0時の通常分割)
通称・愛称 不明
ファイルを分割します。
大きく分けて通常分割と分割先頭のexeファイルを用いた自己復号型ですが、
旧バージョンとの互換性を保つために、通常分割はType0〜3の4種類、
自己復号型もWin32とMS-DOS汎用の2種類準備されています。

では種類毎に特徴を見てみましょう。
(当方の手持ちのVerは3.12です。旧バージョンでの作成データは
内容が若干違う可能性もあります。予めご理解下さい。)

まずは自己復号型です。
これはType設定に関係なく同等のものが作成されるようです。
Win32、MS-DOSとも、exeファイル内をバイナリエディタで覗いて検索すると
「Jydivide」という文字列があります。(画像
Win32の場合は、途中に「-JD3-」というのもあります。
後続のファイル(d02〜)はヘッダが「-JD3-」となります。(画像

次に通常分割です。まずはType0です。
Type0はいわゆる単純分割形式です。対応したツールでも結合可能です。
Type0のみ、拡張子の連番を000からか001からかに選択出来ます。
また先頭ファイルの拡張子を任意の拡張子名に設定も出来ます。

Type1です。ここから拡張子はd01からの連番となります。
d01ファイルをバイナリエディタで覗くとこんな感じです。
反転させている部分が付加されます。
元ファイル名と元ファイルのバイト数が見えます。(元ファイルはbmp。)
この部分を削除して後続のファイルと単純結合させると復号可能です。

次にType2です。
d01ファイルをバイナリエディタで覗くとこんな感じです。
Type1とやや違うヘッダになっています。
最初の英数字は当方不明です。(CRC32ではありません。)
マニュアルから推測すると「誤結合防止チェック」のフラグかもしれません。
後続ファイルをバイナリエディタで覗くとこんな感じです。
ヘッダに「D」と付加されます。
先頭ファイルのヘッダ(画像の反転部分)と
後続ファイルの先頭1バイト「D」をそれぞれ削除すると単純結合可能です。

最後にType3です。これが推奨形式となっています。
「各ファイルの正当性チェック」と「更新日時の復元情報」が
更に追加されているようです。
先頭ファイル及び後続ファイルをバイナリエディタで覗くとこんな感じです。
ヘッダに「-JD3-」があります。更にフッタには3バイトが追加されます。

さて、このType3も基本的にデータの内容は平文状態なので、
不要な部分を削除して単純結合が出来ます。
削除するのは、各ファイルのフッタ3バイト、
後続ファイルのヘッタから13バイト、
先頭ファイルに関しては、データによって不定のようです。
(当方が試したものは、36バイトと42バイトになりました。)
但し、この下準備したファイルがType0の単純分割させたデータと
全く同じ内容かというと違っていました。
ファイルの分割位置がズレるようですのでご注意下さい。

前ページに戻る サイトトップに戻る 次ページに進む