| な行 |
| なぞじゃむ | |||||||||||
| 偽装タイプ | 偽装分割 | ||||||||||
| 偽装後の拡張子 | jam(結合情報)、jmr(再分割情報)、bmp、gif、jpg、png | ||||||||||
| 偽装後の画像等 | 内容不定のjpg、gif、png、 白・黒・赤・緑・青・黄色・紫・水色のいずれかの単色のbmp、 上記のうち2色が混じったbmp、白黒が混じったbmp、砂嵐状のbmp、 gifのヘッダをした、8×8ピクセルの四角い黒い点のbmp、gif、jpg、png (↑Black Albumの特徴。但し、環境によりうまく再生出来ない場合あり) |
||||||||||
| 対応ツール | Melt it !(但し埋込型のjamのみ、他タイプのjam、jmrは識別のみ可、 BA偽装タイプは一旦解除後に結合。但しエラー表示されるかも)、 そ(nazojamc.exeとnayuki.dllが必要、BA偽装タイプの結合は一旦解除後に可) (支天輪、詩子様が、BA偽装タイプを認識・復元までする。結合は不可) (MaltyはBA偽装タイプを認識までするも、不正ファイルとして処理中断) |
||||||||||
| 通称・愛称 | じゃむ、ジャム | ||||||||||
| ファイルを偽装分割します。(仕様上、インプラント無しの分割は出来ないとの事です) 分割出来るファイルの最大サイズは約2G、設定出来る分割ファイルの最大サイズは9999K、 分割ファイルの最大個数は、ファイル名に単語を使うときは21,109個、 連番を使うときは2,147,483,647個、設定出来るアカウント容量の最大値は999M との事です。 ファイルのアップロードを強く意識した設計となっており、 使用アカウントの大きさに応じたフォルダ分けや、 アカウント指定にtxtファイルを使用したり、使用サーバの設定等も出来ます。 CRCリスト、URLリスト、UPListファイル、キューファイル等が自動作成出来ます。 実行ファイルはそれぞれ独立しており、nazojamc.exeが「結合」、 nazojamd.exeが「分割」、nazojamr.exeが「再分割」です。 (この3つは同じフォルダに置いて下さいとの事です) 分割ファイルの他に、jamファイル(結合情報)やjmrファイル(再分割情報) 等を生成します。 ファイル名には、プリセットされた単語(外部のtxtやdicファイルも指定可)、 3桁の英数(aaa〜)・数字(000〜)の連番を指定出来ます。 連番の場合、最大2種類の任意の文字列を絡めたファイル名にする事も出来ます。 ([文字列1][連番][文字列2].拡張子という感じ。片方だけや連番のみでも可) 分割ファイルのフォルダ配置については、指定フォルダに情報ファイル類を配置、 その直下に[000]からの連番フォルダを生成して分割ファイルを配置します。 その際[フォルダの自動作成]チェックすると、指定フォルダの下に [分割元ファイル名]のフォルダを自動作成します。 ([指定フォルダ]\[分割元ファイル名フォルダ]\[000〜の連番フォルダ]という感じ) 分割ファイルの偽装パターンとしては、 1.任意の外部画像を使った、jpg、gif、pngへの埋め込み 2.単色・複数色のbmpへの偽装 3.上記のファイルを、Black Album偽装(以下BA偽装)したbmp、gif、jpg、png に大別されます。 1.2は後述するとして、3.についてですが、分割ファイルの性状的には まるっきりBA偽装です。拡張子はgif以外にもbmp、jpg、pngがありますが、 ヘッダを確認すると中身はgifです。(画像、この場合はpngですがヘッダは「GIF89a」です) ただ困った事に、なぞじゃむ自体に分割ファイルをBA偽装化する機能はあっても、 BA偽装を復号する機能はありません(;^_^A よって、本家BAか対応ツールで一旦BA偽装を解除して、なぞじゃむに戻してから 結合をする必要があります。 BA偽装されたファイルとjamファイルが一緒にあったら、BA偽装されたなぞじゃむと 判断してもよいかと思います。 jamファイルをバイナリエディタで覗いてみるとこんな感じです。 0x1Aの次に「なぞじゃむ」とあります。 その後にオリジナルファイル名や元ファイルサイズ等の情報が続きます。 ちなみにjmrファイルはこんな感じです。 こちらは「なぞじゃむr」で始まり、内容も若干違います。 分割jpgをバイナリエディタで覗いてみるとこんな感じです。 ダミーファイルの後に「nz」と付くようです。 また、隠蔽されたデータと元データを比較するとこんな感じです。 「3ビット反転+1ビットそのまま」という変換を繰り返しているようです。
gifもjpgと同様に「nz」と「3ビット反転+1ビットそのまま」という特徴があります。 (画像1、画像2) さてpngはと言うと、pngの仕様だと思いますが「nz」の識別子がありません。 但し「3ビット反転+1ビットそのまま」というデータ変換はしているようです。 (画像) 反転前がダミー部分、反転部が付加された部分、反転後が隠蔽データ部分です。 bmpをバイナリエディタで覗いてみるとこんな感じです。 ちょっと他の画像とはパターンが違って、 「nz」と「3ビット反転+1ビットそのまま」というパターンではなさそうです。 明らかなこのツールでの偽装という目印は見つけられませんでしたが、 「00 FF FF FF」というパターンが連続して暫く続くのが特徴的です。 |
|||||||||||
| 名雪といっしょ | |
| 偽装タイプ | 偽装分割 |
| 偽装後の拡張子 | jpg |
| 偽装後の画像等 | kanonの水瀬名雪の画像(らしいです?) |
| 対応ツール | 不明 |
| 通称・愛称 | 不明 |
| ファイルをキロバイト単位で分割し、画像を付加してjpg保存します。 付加される画像は、keyのゲームkanonのヒロインの水瀬名雪らしいです。 (情報提供はハーピーさんです。感謝!m(_ _)m) 但し、「名雪といっしょの名雪とは、keyのゲームkanonのヒロイン」との事ですので、 ダミー画像の人物が水瀬名雪かどうかは、自分にははっきり分かりません。 (イメージ検索したけど、おっさんには区別がつきませんでした・・・^^;) よって上の方も「?」とさせて頂きました。すみませんm(_ _)m もし分る方がいらっしゃいましたら、ご一報下されば幸いです。 生成されるjpgは、[元ファイル名][0からの連番カウンター].jpgの分割ファイル群と 分割情報ファイルの「key.jpg」となります。 最初にkey.jpgをバイナリエディタで覗いてみるとこんな感じです。 先頭から4,370バイトが付加された画像データで、その後には[分割個数−1]の数値 (カウンターが0からなので、付加されたカウンターの最後尾の値)があり、 元ファイル名があります。 サンプルでは「3」となっているので、カウンターが0〜3までの4個に分割された訳です。 次に、分割ファイルをバイナリエディタで覗いてみるとこんな感じです。 こちらも同様に先頭から4,370バイトが付加された画像データとなっています。 (サンプルの元データはbmpですので、BMから始まるヘッダが見えます。) 分割ファイルを、それぞれ先頭から4,370バイト削って単純結合すると復号出来ます。 |
|
| なんでも暗号化 | |
| 偽装タイプ | 暗号化 |
| 偽装後の拡張子 | 不定 |
| 偽装後の画像等 | なし |
| 対応ツール | 不明 |
| 通称・愛称 | 不明 |
| 全てのファイルを暗号化します。 偽装後の拡張子は不定のため、判別するのはなかなか困難です。 16文字以内でパスワードを設定出来ます。 バイナリエディタで覗いてみるとこんな感じです。 上段がパス有り、下段がパス無しです。 ヘッダの部分が、 パス無し→リ.3)i..雪 (D8 0F 33 29 69 11 19 90 E1) パス有り→リ.3)h..籍 (D8 0F 33 29 68 11 19 90 D0) となっています。 それ以下の部分も、一致したり設定したパスワードによって違ったりもしますが、 判別材料としては上記の部分くらいまでで判断してもよいと思います。 |
|
| 難でもケツ合&偽装 | |
| 偽装タイプ | 結合・偽装 |
| 偽装後の拡張子 | ktu(結合情報ファイル)、jpg、全て |
| 偽装後の画像等 | 不定(「画像で偽装する」選択時は、33×33ピクセルの水色一色のjpg画像) |
| 対応ツール | 不明 |
| 通称・愛称 | 不明 |
| 複数ファイルの結合をします。 結合の際に、固有のjpgか任意の全てのファイルのデータを付加する事も出来ます。 但し、後述の「他のファイルで偽装する」で結合した場合は、 種類によっては関連付けされたアプリで正常に開けない事もあります。 (これはデータが単純に結合されている事に由来します。) 偽装後には、同名の拡張子ktuのファイルも生成されます。 これが結合情報ファイルです。 変換タイプは大きく分けて3つの種類があります。 「偽装しない」 「画像で偽装する」 「他のファイルで偽装する」 最初に「偽装しない」です。 結合後のファイル名・拡張子は自由に設定出来ます。 バイナリエディタで覗いてみるとこんな感じです。 データを単純に結合した状態になっています。 ktuファイルをバイナリエディタで覗いてみるとこんな感じです。 ファイル名1,バイト数,ファイル名2,バイト数,〜 結合後ファイル名 となっています。 記載内容に従って切り分けて保存すれば分割可能です。 次に「画像で偽装する」です。 結合時に保存するjpgファイル名を聞いてきます。 この時、他に実在するjpgファイルを指定してもその画像が取り込まれる訳でなく、 逆に確認の上で上書きされてしまいますので注意して下さい。 画像は33×33ピクセルの水色一色のjpgとなります。 結合後のファイルは、先頭から662バイトが付加されたjpg部分のようです。 その後は「偽装しない」と同様にファイルが順次格納され、 最後にフッタに「%JPG%」が付加されます。 ktuファイルはバイナリエディタで覗くと「偽装しない」と同様の構成です。 ということは、付加されたjpgについての記載がないことになります。 試した結果では、662バイトで恐らくjpg部分は固定されているとは思いますが、 切り分けて保存する際には、フッタの「%JPG%」を除いた所から 逆に後で格納されたデータの方から保存していくと安全かもしれません。 最後に「他のファイルで偽装する」です。 結合後のファイルは、取り込んだダミーファイルのある場所に 「結合後ファイル」というフォルダを作って保存します。 ファイル名はダミーファイルと同じものになります。 結合後のデータ構成は、取り込んだダミーファイルデータ部に続いて 「偽装しない」と同様にファイルが順次格納されています。 これも単純に結合された状態てす。 ktuファイルをバイナリエディタで覗くと、先頭が0x3Bで始まり、 ダミーファイル名,バイト数があり、後は「偽装しない」と同様です。 先頭の0x3Bを飛ばして同様に切り分けると保存出来ます。 |
|
| ねここねこマスィーン 1号機 | |
| 偽装タイプ | テキスト変換 |
| 偽装後の拡張子 | 全て(元ファイルのファイル名・拡張子のまま) |
| 偽装後の画像等 | 「ね」と「こ」からなるテキスト |
| 対応ツール | 不明 |
| 通称・愛称 | 不明 |
| ファイルを「ね」と「こ」からなるテキストに変換します。 変換後は同名ファイルで、元ファイルを警告なしで上書きしますので、 なんらかの理由で元ファイルを取っておきたい場合は、別途保存しておくと吉です。 ファイルサイズは元の16倍になります。 さて、よくある16倍に膨れ上がるテキスト変換の常套的手法だと、 元データをビット単位にして0と1をそれぞれ設定した2バイト文字に変換していく、 というのが一般的ですが、このツールにはその手法は通じません。 なんとなれば、同じデータが出現しても同じ内容にならないのです。 変換後のデータをバイナリエディタで覗いてみるとこんな感じです。 元データの内容は、00h 01h 00h という3バイトのものです。 先頭からの16バイト(1行目)と末端からの16バイト(3行目)は 上記の一般的手法の変換だと同じ内容になるはずなのですが、 御覧の通り、同じにはなりません。 変換後も変わらない物というとファイル名位なのですが、 それは変換の鍵には使われていないみたいです。 色々考えてみましたが結局仕組みはわかりませんでした∩(´・(家)・`)∩ よって、もじへんBなどで上手く復号出来ない時に試してみる、 という形で使ってみる事になりそうなツールです。 |
|
| のえみ | |||||||||||||||||||||||||
| 偽装タイプ | 埋込、暗号化 | ||||||||||||||||||||||||
| 偽装後の拡張子 | 全て | ||||||||||||||||||||||||
| 偽装後の画像等 | 不定 | ||||||||||||||||||||||||
| 対応ツール | おにいちゃんいっぱいだしてね | ||||||||||||||||||||||||
| 通称・愛称 | 妹、萌、萌え、声の出るツール、声の出る鶴 (※ New Object-Encoding Make Interface の略との事) |
||||||||||||||||||||||||
| ファイルを暗号化して他ファイルに埋め込みます。 (埋め込みなしの暗号化だけも指定により可能) VisualBasic6(SP3) 以降のランタイムライブラリが必要との事です。 基本的にこのツールは「Format」というパターンを登録して、 それに記述された内容に従って変換をします。 これがかなり詳細に設定出来まして、例えば ○ヘッダに使用するFormat文字列(その中にcrcやファイルサイズ等も埋め込める) ○元ファイル名情報の埋め込みの可否 ○ヘッダとデータの位置逆転 ○ヘッダ、データの暗号化の可否 ○BITTABLEを設定したビット並び替えやパスワード・XOR等の暗号化指定 ○ファイルを埋め込まない場合の拡張子の指定 etc・・ 更にオプション設定によりMASK設定(キーファイルかパスワード)や変数設定、 おまけにエンコ時には埋め込まれるファイルの有無や、フッタにゴミを付ける設定、 ファイルサイズの補完や、埋め込まれるファイルとヘッダまたはデータ間に ダミーデータの挿入(通称:中出しされても出来ないので安心(* ^^ *)機能 )、 埋め込み位置の設定やファイル名の付け方等々・・・ 相当内容をカスタマイズ出来ます。ある意味無限にパターンがあるといっても 過言ではありません(;´Д⊂) (作者様も「極力普通に行きましょう。」とおっしゃっていますね・・・) よって、このツールの偽装後の特徴を挙げるのは至難の技です。 仮に標準添付のFormatでも拡張文字列や拡張数字の変数で内容が違ってきますし、 なによりヘッダ・データとも暗号化を選択出来ます。 Format以外の部分のオプションでMASKを掛けられると所謂要パスになってきます。 (Formatで設定出来るパスワードはありますが、作者様はFormatは第三者に公開する物 として定義されていますので、第三者に戻せなくするのには別途オプションでの設定を 出来るように設計されています。) 以上の事を踏まえて、デフォルトの状態で偽装したもっともプレーンなものを バイナリエディタで覗いてみましょう。 (勿論、設定次第で内容はグチャグチャになりますので念のため・・・) 使用したサンプルデータは、全て20バイトのテキスト(test.txt)です。 標準で添付されているFormatは、全部で12種類あります。 (番号)の次が「Format名」(バイナリエディタ画像にリンクしています。)、 次行の≪≫の間がヘッダを生成するFormat文字列です。 文字列中の\を伴う英数字が変数で、以下の法則で代入されます。 (標準添付で使用されている変数のみ抜粋しました。他にも色々あります。)
(1)「のえみの可愛さは異常!」 ≪萌\d1えMOE燃\fえ〜!(T_T)\s\H萌\d2えり\Aゅん!≫ やはり特徴は、各種「もえ」という言葉と「(T_T)」でしょう。 データは暗号化されています。 \fもありますので、ファイル名も見えますね。 (2)「のえみの可愛さは異常!#」 ≪萌\d0えMOE燃え〜!\f(T\d2_T)\S\h萌\Aえりゅん!≫ 内容的には(1)と似ていますが、 データ・ヘッダとも暗号化されています。 これだとまずわかりませんね。 (3)「も〜っとのえみの可愛さは異常!」 ≪萌\d0えMOE燃\Fえ〜!(T_T)\S\H萌え\d2りゅ\aん!≫ これもデータ・ヘッダとも暗号化されています。 これもまずわかりません。 (4)「拡張X」 ≪jW\e0\mTx\XMu\d2M\e4\cK4\D0iK\A\Fer≫ ヘッダは暗号化されていませんが、データとヘッダの位置が逆転しています。 サンプル画像の反転部の最初から20バイトが暗号化されたデータで、 その次にヘッダ(jWから始まる部分)が来ています。 (5)「猥褻!猥褻!猥褻!」 ≪ち\d2ん\xこち\Cんこちん\D0こヽ( ̄▽ ̄)/\A\F≫ 特徴はやはり「ちんこ」でしょうねぇ・・・(^^; しかし「猥褻」の本当の意味は、全く暗号化されていない事だと思います。 ヘッダはおろか末尾20バイトのデータさえも丸出しの状態です。 これは確かに猥褻ですwイヤ━━━━━━(*/ω\*)━━━━━━ン!!!!!! (6)「I'veなら」 ≪「季\uI節の\A\e3雫」\Xが一\F番良いと思う\Cんだ\d2けどね、\nあのラッ\d0プは萌えだよ≫ これも全く暗号化されていません。末尾20バイトに丸出しです。 ちなみに「I've」とは「エロゲの主題歌の作曲を請け負う音楽集団」らすぃです・・・ (7)「普通っぽい」 ≪data\F_\s+\C≫ ・・・普通ぽいですw (8)「掟」 ≪お礼は\s5行以上!\F空白は含めない\D0\c!≫ データ暗号化されています。・・・しかし何の掟なのでしょうか? (9)「食糞」 ≪自分の糞を食うこと\X、精神分裂病や痴呆に見られる精神異常行為の一種。ただし\D1、\a\d2異性のを好んで食す場合は\hフェチシズムであり\F精神異常ではない≫ データ暗号化されています。しかしテキストに起こすのをためらう文字列です(;^_^A (10)「鬱病克服の原理」 ≪第一段階:\F眠りと安らぎの獲得時期。第二段階:\S遊びとゆとりの獲得時期。最終段階:\H自己の内面を捉え返す自己相対化の時期。\A以上≫ これもデータとヘッダの位置が逆転しています。 文面に特徴がありますね。 (11)「リストカット」 ≪自殺するためと一般的に思われ\e2がちですが\F、そのような目的の行為\aではあまりありませんの\Xで心配しない\H(無理だって)ようにしてください。≫ これも文面に特徴があります。うーむそうなのね。(←なにが?) (12)「リストカット症候群」 ≪MP3や\FILEzのリストの一部をカットされ、やきもきする症状\X。\a\D0\d2会員制ではよく見られる行為\H。≫ こちらもデータ丸出しです。 ・・・そっちのリストかよっ!!!!!!!w さて、このツールの特徴をだらだらと綴ってきましたが、 最大の特徴をまだ書いていませんでした。 「喋ります」しかも「妹」です。 周囲の環境・音量設定・貴方の属性にご注意の上ご使用下さい。PC無害w |
|||||||||||||||||||||||||
| は行 |
| ハムスター変換機 | |
| 偽装タイプ | ビット処理 |
| 偽装後の拡張子 | ham |
| 偽装後の画像等 | なし |
| 対応ツール | 不明 |
| 通称・愛称 | ハム太郎、 とっとこハム太郎 |
| txtファイルをhamファイルに変換します。要VB6.0ライブラリとの事です。 「あまり大きなファイルは、ハムスターが嫌がります。」とのことです。 ので、敢えて1.5MB超のtxtを作ってハム太郎に食べさせてみましたら、 「ファイルサイズが大きすぎます!」と嫌われてしまいました・・・(^^; バイナリエディタで覗くとこんな感じです。 上段がtxtファイルで、下段がhamファイルです。 ヘッダには「ENCIPHERED BY ハムスター変換機 」が付加されます。 そして内容を前後逆転させて1ビット減算した感じになっています。 (2バイト文字では2バイト目のみ。) インターフェイスにハムスターの写真を使ったり、 アイコンに可愛いハムスターのイラストを使っています♪ |
|
| ばぼび | |
| 偽装タイプ | 埋込 |
| 偽装後の拡張子 | 全て(添付のダミーを使うとjpg) |
| 偽装後の画像等 | 添付ダミーの場合は、「ママは小学4年生」というアニメの みらいちゃんという赤ちゃん |
| 対応ツール | 不明 |
| 通称・愛称 | ママは小学4年生、小学四年生、ママ4、みらいちゃん |
| すみません。。。。 このツール、当環境では起動はしますが、偽装しようとすると 「エラー12 が発生しました」といってハングしてしまうのです。(;´Д⊂) よって一般的な情報のみ。。。 実行ファイル下位のimplantフォルダにダミーファイルを置くことによって 全てのファイルに埋め込みします。 デフォルトで上記のみらいちゃんjpgが添付されています。 パスワード設定や、複数ファイルの一括埋め込みも出来るようです。 Ver0.13b以前とVer0.20以降では互換性がないとのことです。 |
|
| ばらばら | |
| 偽装タイプ | 偽装分割 |
| 偽装後の拡張子 | bra(分割情報)、avi、bmp、cab、gif、jpg、lzh、png、rar、wav、zip |
| 偽装後の画像等 | 不定、またはデフォルトダミーを使用した場合は、 茶色に灰色っぽい網目入りに、白い文字で「ばらばら」の画像(bmp,gif,jpg,png)、 解凍すると0バイトの「readme.txt」が入っている書庫(cab,lzh,rar,zip)、 クリック音のようなノイズ音(wav)、 検索時にありがちな「PCに回る虫眼鏡」の動画(avi) |
| 対応ツール | 不明 |
| 通称・愛称 | 不明 |
| ファイルを偽装分割します。 要Visual Basic 6.0 基本ランタイムとのことです。 ダミーファイルは上記特徴のある10種類が標準添付されていますが、 任意で上記拡張子の外部ファイルを使用する事も出来ます。 また、分割情報ファイルとして拡張子braファイルを生成しますが、 分割した最終ファイルに埋め込む事も出来ます。 分割ファイル名は、[ランダムな文字列].[拡張子]か [任意の固定文字列][0000からのカウンター].[拡張子]のどちらかを選べます。 braファイル名は、任意の固定文字列を選択するとそれが反映されますが、 全く関係ないファイル名にも出来ます。 分割はKB単位指定で、固定か指定に幅を持たせたランダムかになります。 他にパスワード設定やCRCファイルの生成、 元ファイルのcrcデータをbraファイルに格納する等が出来ます。 分割ファイル(先頭)をバイナリエディタで覗いてみるとこんな感じです。 反転部分からが隠蔽データ(元データはzipファイル)ですが、 中身はスクランブルされています。 ちょっとこれだけでは判別がつきませんね。 続いてbraファイルをバイナリエディタで覗いてみるとこんな感じです。 これも可読出来るテキストの識別子はないようです。 分割最終ファイルに埋め込まれたbraデータを バイナリエディタで覗いてみるとこんな感じです。 ファイル末尾にそのまま埋め込まれていますね。 braファイルが別途で存在すれば当ツールだと推測が出来ますが、 最終ファイルに埋め込まれていると、ちょっと判別は困難です。 一応何パターンか試した限りでは、braファイルは 「|Xe.o.&f.|`F*I..F.a{.(ba.|.B0Ip」 (16進だと、「7C 58 65 02 6F 1F 26 66 11 7C 60 46 2A 49 1F 16 46 0B 61 7B 17 28 62 61 11 7C 10 42 30 49 70」) という31バイトで始まるみたいです。(画像) 但し検証数も両手に余る程度の確認範囲ですので、 ひょっとしたら違う部分があるかもしれません。 違っていましたらご容赦下さい。m(_ _)m |
|
| ぱるぷんて | |||||||||
| 偽装タイプ | テキスト変換 | ||||||||
| 偽装後の拡張子 | txt | ||||||||
| 偽装後の画像等 | 半角英数字と全角数字と全角ひらがなが存在せず、 記号や全角カタカナや漢字を中心とした意味不明っぽいテキスト |
||||||||
| 対応ツール | 不明 | ||||||||
| 通称・愛称 | スライム、すらいむ | ||||||||
| txtやlstなどのテキストファイルを変換します。 変換後はファイル名末尾に.txtが付加され、復号時も.txtが付加されます。 (例:test.txt → 変換後 test.txt.txt → 復号後 test.txt.txt.txt) つまり、変換と復号を繰り返すと.txtがどんどん増えていきます。 変換対象はテキストデータのみです。それしか対象ファイルを選択出来ません。 (ウィンドウにD&Dで選択は出来ない仕様です。) バイナリデータの拡張子をtxtにすると一応選択して変換しますが、 変換が不完全になり、復号しても内容の同一性は失われるようです。 通称・愛称についてですが、実行ファイルのアイコンが青いスライムの形をしています。 また、自分はドラクエやったことがないのでアレですが(^(家)^;)ゞ、 「ぱるぷんて」とは呪文のようですね。 取り敢えずどのように変換されるのか見てみましょう。 色々な文字種を変換してみました。
半角英数字と全角数字と全角ひらがな、そして半角記号の一部が変換されました。 半角かなと全角英字と全角カタカナと全角記号と全角漢字はそのままです。 このようなパターンで変換されていくようです。 さて、このツールで偽装しやすいテキストとは一体何でしょう? 半角英数字と一部半角記号をよく使う文章というと・・・ そうです、URLリストなんか都合がよさそうですね。 そこでよくあるプロトコル部分を変換してみました。
行頭が上記のようなパターンで始まる謎のテキストの場合は、 このツールでの偽装を疑ってみてもいいかもしれませんね。 |
|||||||||
| 万能符号化復号器 | |
| 偽装タイプ | テキスト変換 |
| 偽装後の拡張子 | 不定 |
| 偽装後の画像等 | 不定の文字列 |
| 対応ツール | もじへんB(但し一部制限あり) |
| 通称・愛称 | 不明 |
| ファイルやクリップポード内のテキストを、任意の2種類の文字に変換します。 変換後の文字は半角・全角を問いません。 原理はコラムを参照下さい。 復号後は、元のファイル(拡張子)名を復元出来ません。 要VB6SP5ランタイム,comdlg32.ocx,tabctl32.ocx,mscomctl.ocxとの事です。 このツールの特徴としては、 1)変換後ファイルの先頭にシグナチャを付加出来る。(付加しない事も可能) 2)変換後の末尾に7文字までの任意の文字列を付加出来る。(付加しない事も可能) 3)復号時に2種類の文字の割当を逆転させる「ネガティブ復号」機能。 1)については、このツールで作成された事と使用された文字の情報が、 変換後ファイルの先頭に埋め込まれます。 これにより、復号時に割当された文字の入力等を省略することが出来ます。 2)については、あたたた符号化機のend.txt等と同じものです。 この「最後のおまけ」の文字列を、変換する2種類の文字と同じものにしたら きっと誤復号をするだろうと思って実験をしてみたのですが、 1文字を変換するために必要な8文字は入力出来ず、 7文字までしか入力出来ませんでした。 きっと、こういう変わった事をする奴がいると思って作者様が施した仕様でしょうね^^; 3)については、1ビットの0と1に割り当てる文字を逆にして復号してしまい、 変な復号結果になった場合には、これをチェックすることによって 割当の設定を入力し直す事なく、簡単に割当を逆にして復号し直す事が出来ます。 (シグナチャありで変換した場合だと、使うことはないと思います。) 変換後ファイルをバイナリエディタで覗いてみるとこんな感じです。 上から元の内容、シグナチャなし、シグナチャありです。 元の内容の0x31は2進数で00110001となります。 この0が「A」、1が「B」に割当・変換され、最後に「おまけ」という文字列を設定しています。 シグナチャありで変換した場合は「BNF符号化」と付加され、 次の2文字が割当に使用した文字列になります。 変換内容部分は常に8文字の倍数です。 (8バイト単位ではありません!2バイト文字も混在可だから。) ファイルよりの変換については「もじへんB」で復号出来ます。 但し、シグナチャを付加すると上手くいかないようです。 「不明な文字を無視する」で可能かと思いましたが・・・(´・(家)・`) 復号時は、必ず「MSBから変換」のみになります。 余談ですが、「もじへんB」で復号出来て当ツールで復号出来ない場合の中には、 他ツールでテキスト変換時にLSBから変換されている場合も結構あります。 当ツールはLSBからの変換には対応していません。 |
|
| ひっくり蛙 | |
| 偽装タイプ | ビット処理 |
| 偽装後の拡張子 | 全て(元ファイル名のまま上書き) |
| 偽装後の画像等 | 半角テキストデータだと反対から読むと大体意味が通じるっぽいが バイナリデータだとほぼ意味不明の内容 |
| 対応ツール | Melt it !(特殊タブのReverse処理より)、 WinStealthやゆなシークレット等のリバース処理が出来る同種のツール |
| 通称・愛称 | 蛙、かえる、カエル |
| ファイルをバイト単位で反転処理します。 その際、いきなり同名で上書き保存をしますので、 元ファイルが別途必要な場合は、予め別フォルダにでも保存が必要です。 D&Dを繰り返す毎に、反転・復号を繰り返します。 (ツール的には単純に今あるデータを反転処理しているだけです。) 元内容と反転処理後のデータをバイナリエディタで覗いてみるとこんな感じです。 上段が元内容、下段が反転処理後です。 バイト単位で先頭の値(74h)が末尾に移動し、2バイト目(65h)が末尾から2バイト目 という風に順次入れ替わっているのが解ると思います。 この手のツールによる偽装を見破るには、 よくあるデータ形式のヘッダの識別子部分を覚えてしまう事だと思います。 例えばjpgなら「.リ....JFIF」、gifなら「GIF87a」や「GIF89a」とか 特徴的な部分を覚えておけば、フッタを見た時に「アレっ?」と反応出来る事が多いです。 (とか言いつつ、結構反応出来てなかったりするw>おいらの場合) |
|
| ファイルチェンジャー | |
| 偽装タイプ | ビット処理・テキスト変換 |
| 偽装後の拡張子 | 全て、txt |
| 偽装後の画像等 | なし |
| 対応ツール | 処理の種類によって同型のツール |
| 通称・愛称 | 不明 |
| ファイルをビットレベルで加工します。 処理内容は、 ○左右ビットシフト(バイト単位かファイル単位) ○0〜255までの十進数によるXOR ○ファイル内容の前後逆転(ひっくり蛙等と同様) ○txtファイルの行単位のシャッフル ○txtファイルの縦書き変換 ○漢字コード変換(JIS、Shift-JIS、EUC) ○行末コード変換(CR+LF、CR、LF) ビットシフト・XORについてはコラムを参照下さい。 で変換後は、ビットシフト・XOR辺りだとまず判りません。 前後逆転・txt系処理だとなんとかなるかもしれませんが。。。 パスがわからないまま暗号化の解除をするようなものです(汗 ある意味、要パスのもの以外では最強かもしれません。 ただ、他人とファイル受け渡しをするとを想定した場合、 どこかにビットシフト・XOR処理していることを ヒントだけでも晒されていないと恐らく用をなしません。 逆にいうと、何処かにヒントが提示されている可能性もありますので、 そこに期待でしょうか・・・(´・(家)・`) |
|
| ふぃ密 | |
| 偽装タイプ | 暗号化・偽装 |
| 偽装後の拡張子 | 暗号化→全て(元ファイルを上書き)、偽装→jpg |
| 偽装後の画像等 | 暗号化→不定のバイナリ、偽装→10×10ピクセルの黒い四角い点(一応変更可) |
| 対応ツール | 不明 |
| 通称・愛称 | 不明 |
| ファイルを暗号化します。また、暗号化してjpgに偽装も出来ます。 要VB6ランタイムとの事です。 Ver1.12〜1.09と、1.08〜1.05と、1.02〜1.04と、1.01〜1.00間で互換性がないそうです。 (尚、当記事はVer1.12を対象に書かれています。) 暗号キーはデフォルトで「ふぃみつ」という8バイトの文字列ですが、 1〜16バイトの範囲で自動生成する事も出来ます。(tSrY`1yuj- ←こんな感じ) 暗号化時は元ファイルに直接上書きします。ファイルサイズは変わりません。 jpg偽装時は、[元ファイル名].[元拡張子名].jpgというファイル名になります。 実行ファイルと同じディレクトリに「img.dat」という334バイトのファイルがあります。 この中身はjpgで、上記特徴(黒い点)のダミー画像データです。 これを任意の334バイト以下のjpgに差し替えてimg.datにリネームすると、 ダミー画像を任意の物に変更する事も出来ます。 (334バイト以下というと、ダミー画像の内容はかなり限られてきますが・・・) また、一応334バイト以下であれば、jpg以外の形式でも可能な場合もあります。 その場合、拡張子はjpgですがヘッダはダミーに使用した形式のものになります。 但し、ファイル形式によっては関連付けされたアプリで上手く開けないかもしれません。 これらは非公式な事項であり、試される場合は自己責任でお願いします。 暗号化したファイルをバイナリエディタで覗いてみるとこんな感じです。 上段が元データ、下段が変換後です。 ファイルサイズに変化もなく、このツールで変換した事を示す識別子もないようです。 よって、このデータは変換情報を内包せず、単純に暗号キーで変換されているようです。 ちなみに、このツールの暗号化と復号化は操作上は特に別れていなくて、 「暗号化」という同じボタンで暗号化と復号化の両方を操作をします。 別の暗号キーで復号すると、途中で作業が止まる事もなく別の結果に変換されます。 (jpgの方は、「jpg化」と「jpgから復元」とに別れています。) 暗号化したjpgをバイナリエディタで覗いてみるとこんな感じです。 img.datの内容に続いて、暗号化したデータ(反転部分)があります。 先程の単体で暗号化したものと隠蔽部は全く同じ内容です。 さて、変換情報を内包していないと先程延べましたが、ダミーを変更出来るとも延べました。 当然ダミーサイズも違うだろうし、何で隠蔽部分を見分けているのでしょう? 先程オリジナルのimg.datは334バイトと延べました。 最初に、334バイト未満のjpgをダミー(img.dat)に使って偽装してみましょう。 変換後のデータをバイナリエディタで覗いてみるとこんな感じです。 末尾の20バイトが隠蔽部分ですが、その前の部分が00で埋められているのが分かります。 これは無事復号出来ました。 次に、334バイトを超えるjpgをダミーに使って偽装してみましょう。こんな感じです。 先程の隠蔽部分が335バイト目から出現しました。 そして、ダミー画像部分の335バイト目から隠蔽データが上書きされますので、 場合によってはダミー画像がうまく表示されない場合もあります。 そして、このデータを復号してみます。元データは20バイトのテキストなのですが、 その先の部分も復号対象として処理されています。(画像) こちらは上手く復号出来ませんでした。 つまりこのツールでは、隠蔽データ部分は334バイトを越えた部分から最後まで という事で一律で扱われるようです。335バイト目〜最後までをキーで復号(変換)し、 ファイル名の末尾の.jpgを取った名前で保存、という手順のようです。 |
|
| ふぃんたーぼ | |
| 偽装タイプ | テキスト変換・ビット処理・分割 |
| 偽装後の拡張子 | 全て、txt |
| 偽装後の画像等 | なし |
| 対応ツール | 不明 |
| 通称・愛称 | ひんたぼ |
| このツールの基本は、「ひんたぼ語」と日本語とを変換する事です。 要Visual Basic 6.0 ランタイムです。 まずは「ひんたぼ変換」ですが、 例を挙げると、「これはテスト」という文字列は変換回数1で、「さろひトセナ」になります。 つまり五十音順の「こ」の次の「さ」にシフトされます。 変換回数2だと当然「し」になります。 ここで注意したいのは、「人間の感覚的ビットシフト」になっている点です。 何故なら、文字コード表順で行くと「こ」の次は「ご」になるのです。 それを避けた変換テーブルを持っているようです。 「文字列」でなく「コード」で指定すると、 「-32079 -32022 -32051 -31899 -31912 -31897」となります。 色々探ってみましたが、ちょっと解りませんでした。 ひょっとしたら前述の変換テーブルに基づいて割当られたコードなのかもしれませんね。 この結果はtxtファイルに保存出来ます。 次に「ひんたぼ偽装」です。 ヘッダをバイナリエディタで覗くとこんな感じです。 それぞれ、1加算されています。(FFは00になります。) 只、この加算が最後まで続くのかというとそうではなく、途中から無変換状態になります。 フッタをバイナリエディタで覗くとこんな感じです。 反転させている部分が元ファイルにない部分です。 CRCとか変換済みの位置情報かと思いましたが、ちょっと解りませんでした。 只、当環境では偽装レベルの設定を「中」にしか選べず、 「弱」や「強」を選択するとプログラムが強制終了してしまいます。 そこら辺の情報がフッタに関連しているのかどうかは不明です。 拡張子は全てを割当出来ます。 次に「ひんたぼ分割」です。 ファイル名の先頭に001からの3桁の数字連番が付加され、 拡張子は全てを割当出来ます。(例:001test.jpgとか) り〜どみ〜.txtによると、元拡張子・CRC情報を埋め込みしているようですが、 自分が他ツールで計算させたCRCと合致するものはありませんでした・・・(´・(家)・`) 取り敢えず、各ファイルの先頭8バイトずつと、最終ファイルのフッタを削って 単純分割に対応したツールで結合出来ました。 他に拡張子のリネーム機能もあります。 |
|
| 分割 (cutter) | |
| 偽装タイプ | 分割 |
| 偽装後の拡張子 | 拡張子なしでファイル名末尾が3桁の数字連番、bat |
| 偽装後の画像等 | なし |
| 対応ツール | 単純分割に対応したツール |
| 通称・愛称 | 不明 |
| ファイルを分割・結合します。 形式は単純分割ですので、単純分割に対応したツールでも結合出来ます。 分割後のファイル名は、拡張子なしでファイル名末尾に「_001」〜「_999」までの連番、 結合用バッチファイルは、元ファイル名に「_res.bat」を付加した形になります。 結合用バッチファイルをテキストエディタで覗くとこんな感じです。 rem文が「REM 分割ファイル結合用バッチファイル by Sphere(略)」となっています。 「Sphere」とは作者様のHNのようです。 |
|
| 分割壱號 | |
| 偽装タイプ | 分割 |
| 偽装後の拡張子 | 000からの数字連番、bat |
| 偽装後の画像等 | なし |
| 対応ツール | 単純分割に対応したツール |
| 通称・愛称 | 不明 |
| ファイルを分割・結合します。 分割後の拡張子は000からの数字連番で、形式は単純分割です。 単純分割に対応したツールでも結合出来ます。 生成された結合用バッチファイルをテキストエディタで覗くとこんな感じです。 @echo off(パッチ処理の結果をコンソールに出力しないようにする。)が最初にあるくらいで、 非常に簡潔なバッチファイルになっています。 |
|
| 分割/復元親分 | |
| 偽装タイプ | 分割 |
| 偽装後の拡張子 | 1からの数字連番 |
| 偽装後の画像等 | なし |
| 対応ツール | 不明 |
| 通称・愛称 | 不明 |
| ファイルを分割します。拡張子は1からの数字連番です。 UNLHA32.DLLを利用して、複数ファイルをLHA形式で圧縮してから分割も出来ます。 バイナリエディタで覗くとこんな感じです。 先頭ファイル それ以降のファイル いずれもヘッダが「KOIWACUT」で始まります。(作者様の名前+CUTのようです。) 先頭ファイルとそれ以降のファイルでは、やや付加情報量が違います。 バイナリエディタ画像の反転させている部分が付加された部分ですので、 それぞれバイナリエディタで削ってから(情報量の違いに注意!)、 単純分割に対応したツールで結合させると結合出来ます。 (LHA形式で圧縮したものも同様です。) 特筆すべきは、このツールのメッセージやreadmeに相当するhtmlは面白いです♪ |
|
| へっぽこ君 | |||||||||||||||||||||||||||||||||||
| 偽装タイプ | テキスト変換(暗号化機能もあり) | ||||||||||||||||||||||||||||||||||
| 偽装後の拡張子 | txt(デフォルトで「Result.TXT」 | ||||||||||||||||||||||||||||||||||
| 偽装後の画像等 | ひらがな、英数字、漢字等のテキスト(混在している可能性もあり) | ||||||||||||||||||||||||||||||||||
| 対応ツール | 不明 | ||||||||||||||||||||||||||||||||||
| 通称・愛称 | 不明 | ||||||||||||||||||||||||||||||||||
| 入力した文章を「みかか変換」等の形式で変換します。 txt読み込みも一応出来ますが、2バイト文字は上手く読み込めないようです。 Ctrl+CとCtrl+Vによるコピペだと可。ドラック+右クリからのコピペは不可のようです。 変換結果の書き出しファイル名は、デフォルトで「Result.TXT」(変更可)となります。 さて、「みかか変換」について確認しておきましょう。 キーボードで「NTT」という英数字を同じキーに割り当てられているひらがなで読むと 「みかか」となります。「gisouken」なら「きにとらなのいみ」ですね。 このような変換パターンをみかか変換と呼ぶようです。 一説には、インターネット以前の「パソコン通信」と呼ばれていた時代に、 当時のNTTの電話料金(通信料金)の高さ等を掲示板で揶揄する時に使われた隠語で、 NTTの事を指しますが、それ自体で「パソコン通信料金」を指す場合もあるようです。 (例:「今月のみかかは○万円だったよ〜(T▽T)」という感じですかね・・・) では、色々と変換をしてみましょう。全部で8種類の変換パターンが用意されています。 尚、変換対象文書中にある改行コードは、変換時には無視(削除)されるようです。
(但し、当環境では一部記号に差異がありました。)
対象外の文字種とローマ字のaiueoは二重表記となっています。
(!=が驚同になっていますね^^) 但し、全角ひらがなは対象外で、二重表記もありません。
同じ文字から10パターン作成されるとの事です。 半角英数は文字コード表を一定のブロック分けをして、 そのエリア内の文字をランダムに割り当てているようです。 さらに例として、「NTT」を変換してみると、
ブロック分けすると前2文字のエリアが「0x88E?」になっており、 「TTN」のように逆の並びになっている感じがします。
パスワードにて変調されています。中身は英数の羅列となります。 2バイトのパスワードは使用不可で、英数10文字まで使用可との事です。
SCG様の作成されたソフトと一部変換コードが違います。」との事です。 この例でも半角数字と全角ひらがなに違いがありますね。
こちらも2バイトのパスワードは使用不可で、英数10文字まで使用可との事です。 うまく変換出来る文字種が半角英数のようなので、 ぱるぷんて同様、URLリストに使うといいかもしれませんね。 ということで、よくありがちな「http://」という文字列を変換してみました。 (要パスで内容可変な「あひる」と「あひる2」は除きました。)
しかし、DDIとかIDOというのもなかなか時代を感じさせます^^; (現在、KDD+DDI+IDO=KDDIとなっています。) |
|||||||||||||||||||||||||||||||||||
| ポートモレスビー | |
| 偽装タイプ | 埋込 |
| 偽装後の拡張子 | png |
| 偽装後の画像等 | 不定 |
| 対応ツール | 支天輪、うめ〜このみかん(以上、全て可)、 Melt it!(パス付きの場合は不完全な復号となる) (詩子様がパス付きを認識のみ出来る。復号は不可) |
| 通称・愛称 | モレスビー |
| ファイルをpngに埋め込みます。パスワードも設定出来ます。 但し、うめ〜このみかんが生成した本形式のpngには対応出来ません。 埋め込み後のファイル(パスなし)をバイナリエディタで覗いてみるとこんな感じです。 (尚、隠蔽データは20バイトのテキストです。) 反転している部分が元データから増加した部分、即ち隠蔽データ部分です。 20バイトの元内容が81バイトに増加しています。 今度は同じ物をパス付きにしてバイナリエディタで覗いてみるとこんな感じです。 隠蔽部分が更に20バイト増えて101バイトの増加とになっています。 共に増加部分は36バイト目(アドレス23h)から始まっていて、 その最初の14バイトは、「..naYu.シ糎....」 (00 01 6E 61 59 75 02 BC 91 57 F7 00 00 00)で固定されているようです その次からパスの有無や隠蔽内容によって違ってくるようです。 (一般にパスなしが04h、パスありが08hのようです。) ちなみに、うめ〜このみかんが生成したポートモレスビー形式のpngを バイナリエディタで覗いてみるとこんな感じです。 使用したファイルや条件は、前述のパスなしと一緒です。 隠蔽データ部の先頭14バイトが 00 01 6E 61 59 75 02 02 1F 69 78 49 00 00 となっており、本家ツールの 00 01 6E 61 59 75 02 BC 91 57 F7 00 00 00 とやや違っています。 そのため、うめ〜このみかんが生成した物は本家ツールで復号出来ないのだと思います。 最後に、本ツールの名称についてです。 「ポートモレスビー」・・・他の偽装ツールとはやや違った趣というか響きがしますね。 (少なくともエロゲ系の匂いはしません^^;) ポートモレスビーをぐぐってみるとパプアニューギニアの首都の事です。 さて、ここから先はあくまで推測なのですが、日本(Japan)は略称表記するとJPNです。 パプアニューギニア(Papua New Guinea)の場合は「PNG」となります。 なんと、埋め込まれる画像形式の拡張子と一致しますね! pngを対象とした埋め込みツールという事で、 その首都たる都市名を作者様は冠されたのではないでしょうか? (違っていたらごめんなさいm(_ _)m) |
|
| 前ページに戻る | サイトトップに戻る | 次ページに進む |