※マルウェアにひっかからないためのNoCDパッチのマメ知識
正しいものはほぼ以下の4パターンに分類される
(1) wdiff patch (最も数が多い)
ttp://www.vector.co.jp/soft/win95/util/se057654.html サイズはパッチバイト数が少なければ21KB程度、圧縮して12KB程度が多い
$5200から "Diff" の文字列、その下にパッチ対象ファイル名がある
(2) udm patch (ごくたまに)
ttp://www.vector.co.jp/soft/win95/util/se284349.html サイズはパッチバイト数が少なければ172KB程度、圧縮して87KB程度
$2A000から "UDM" の文字列、その下にもパッチに関連する文字列が続く
(3) 書き換えたゲームの実行ファイルがそのまま入っている場合
パッチプログラムではなくゲームフォルダ内同名ファイルに上書きするタイプ
海外にあるパッチはほとんどこれ
当然ゲームの実行ファイルとファイル名、アイコン、バージョン情報等が同じである
サイズは元が圧縮されているものを展開しているパターンもあってまちまちだが
元ファイルよりも小さくなることはまず有り得ない
本物かの判断にはエディタ、ビュワー等で開いて中にゲームのタイトルやエラーメッセージ等、
そのゲームに使われる文字列が入っているかを確認する方法が有効
(4) 独自のパッチプログラム
最近ではつ神が良くやっているメモリパッチ形式等完全独自のタイプ
海外にもNoCD Loaderなどという名称でたまに存在する
サイズが10KB以下等ものすごくコンパクトになっていることがほとんど
少なくとも必ず起動するゲーム実行ファイル名が含まれているので
(3)と同様文字列で判断する方法も有効
逆に怪しいパターンもいくつか
(1) パッチプログラムなのに圧縮サイズが100KBを越えている
wdiff、udm等のパッチプログラムならばパッチするバイト数が相当増えない限り
圧縮したパッチが100KBを越えることはなく、NoCD程度でそんなことはほぼ有り得ない
(2) 中に怪しげな文字列が入っている
Winny、Share、あるいはゲームとは全然関係のないメッセージや顔文字、URL等の
文字列が確認できる場合は贋物確定
文字列はUNICODEで入っている場合が多いので文字コードを変更して表示もできるビュワー等で見るのが有効
(3) UPX等実行ファイル圧縮がされている
上記(2)の方法で判断することを難しくするために圧縮されているパターンが多い
圧縮rar/zipファイルと展開後のexeファイルサイズがほぼ同じ場合はまずこのパターン
663 :
ひみつの文字列さん:2024/06/14(金) 20:13:27 ID:MarkedRes
日本国またはアメリカ合衆国、もしくはその両方の著作権法に触れる内容であると疑われることから表示できません。
こういった知識があると逆に作れるんだよな。
ちょいミスった
>>663の
・UPX圧縮されているので専用ツールで展開すると453,120バイト、仮に
>>661の(3)パターンだとしても
実際の実行ファイル DOLL.EXE 438,272バイトを超えているので有り得ない
小さくなるのが有り得ないんであって越えているのはあり得ますな
ただしこの場合アイコンもバージョン情報も違うし、
元のDOLL.EXEは元々圧縮されていない(圧縮するとサイズが50%程度まで縮む)ので
展開されて大きくなることも有り得ない、となりま。