コグノスケ

偉そうなことを書いたけど

昨日の日記でラテールの新プロテクトが甘くなったという話の後、俺でも解けそう…と偉そうなことを書きましたが、やっぱ無理。現実はそう甘くない。

そういえば一つ気づいた点がありました。昨日ちらっと言ったように、プロセス構造体を列挙する自作ドライバを作るとゲームのPIDが得られます（※）。OpenProcessで取得したPIDを開こうとすると弾かれますが、アクセス権限をPROCESS_TERMINATEに限ると開けます。

TERMINATE権限の名の通りプロセスの終了しかできません。ゲームがハングしたときの対策でしょうね、たぶん。

プロテクトの話ってネットで見かけません。あまり書くとよろしくないんだろうか？

（※）実はKaspersky先生が何かしてくれているおかげで偶然取れているだけかもしれません。素のWindows XPでやったことがないので何とも。

大幅変更？

以前の日記（2008年11月1日の日記参照）で書きましたが、先週くらいにラテールのプロテクトが変更されました。

起動時のスプラッシュ画面もタスクトレイのアイコンも出なくなり、だんまりな仕様に変更されたのかと思いきや、そもそもGameGuardではないようです。怪しいドライバを入れるrootkitに変わりはないんですが。

新プロテクトのメインとなるのはGPP.DLLです。このファイルはご丁寧にクレジットが入っていまして、製造元はGamepot Inc. だそうです。Gamepotがどこかに頼んで作ったのでしょうかねえ？以降はGamepotプロテクトとでも呼びましょう。

優しさが増した

おなじみGameGuardはかなり強烈でして、プロセスの隠蔽は当然のこと、キーボードやマウスの入力も奪い、入力をエミュレートするソフト（※1）を無効化します。攻撃機能も激しくて、カーネルデバッガを動かしたり、プロセス隠蔽を解除しようとすると強制リセットをかましてきます。

一方Gamepotプロテクトはかなり穏やかです。少なくとも強制リセットだとか、全プロセスにフックなどという乱暴なことはしません。

（※1）ただしJoyToKeyは通常動作します。GameGuardのホワイトリストに入っているのでしょうか。

甘くなった

GameGuardはカーネル内のEPROCESS構造体（プロセスの情報を格納する構造体。双方向リンクリストで繋がっている）を変更して、プロセス一覧からゲームプロセスとGameGuardプロセスを隠していました。
その他にも複雑なことをやっていると思いますが、その辺は理解できていません。

一方GamepotプロテクトはEPROCESS構造体を変更しません。カーネルモードでEPROCESS構造体を辿るプログラムを書くと、簡単に見えます。

ラテールのプロセスIDを起動時と異なる値に書き換えてやると、タスクマネージャなどから見えてしまいます（※2）。おそらく (システムコールに渡されたPID) == (ラテールのPID) だったら弾いている？ってところでしょうか。

問題はどこで弾いているかですが、ぱっと見ではわかりませんでした。ありがちなSSDT（System Service Descriptor Table）はいじっていないようです。ntoskrnl.exeにライブパッチでも当てているのでしょうかね…。

GameGuardは重い＆ウザいですが、突破は難しそうな感じでした。新プロテクトは優しいですが、私ですらなんとかなってしまいそうな弱さです。こんな程度ならいっそつけなくても良いんじゃないかなあ？

（※2）PIDを変えたまま遊ぶとサーバへの接続が切り替わる時にハングします。なぜなのかはよくわからんです。

Kaspersky 2009

しばらく使ってみました。まずGUIが妙に小綺麗になりました。個人的にはGUIの綺麗さなんて更々興味ないのでどうなろうと知ったことではないですが、GUIのせいで負荷が増えるってのはやめて欲しいなあと思います。

不正検出システムが、微に入り細に入る動作をするのは変わりませんが、前作より通知のウザさが軽減されているように思います。

アプリケーションの動作を「許可」する際、ルールに追加、一回だけ許可、常に許可（今後二度と質問しない）、から選べて良い感じです。若干変な動きをします（後述）が、それ以外は良好です。

あまり質問してこないモードにもできるらしいですが、このしつこさこそKasperskyって気がしてるので、あえてそのモードは使っていません。

そういえば前作はウイルスを発見すると爆音で「馬の鳴き声」が鳴りましたが、不評だったのでしょうか、音が変わっていました。

無視できない

ラテールをやろうとすると、不正なドライバを入れようとしてる、って怒られます。それらを許可してやると今度は、隠しオブジェクトがあるって怒られます。

隠しオブジェクトで警告しないように設定しても、しばらくすると同じ警告が何度も出るのは勘弁して欲しいな。

悩んだ結果

ついにKaspersky 7.0のライセンス期限が切れました。セキュリティソフトは毎年買い換えているので、今年もまた買い換えの時期が到来です。

で、塚田氏お勧めのESET NOD32（もしくはSmart Security）と今まで使ってきたKaspersky Internet Securityで悩んだのですが、高いと思っていたKaspersky 2009が5,000円で買えることがわかってしまったので、今まで通りKasperskyになりました。

ただNOD32が気になるのも確かなのでノートPCに入れて、AVG -> Avastときたフリー路線から転向させようかなと企んでいます。

買ったらまた書きます。

てれってー

PS2北斗の拳 審判の双蒼星 拳豪列伝を買いました。いつものようにSena氏のPS3を占領して遊びました。

まずオープニングの「ホクトーノケェン」という中途半端なナレーションに脱力です。ここにこのナレーションを入れる意味が理解できねえ。

有名なだけあってゲーム自体は非常に良くできています。格闘ゲームは好きですが、いわゆる下手の横好きって奴です。アーケードモードが全くクリアできません。ラオウが強すぎる…。

攻略サイトを見てコンボの練習をしてみるも、全くつながらず。ああ、イライラする。挫折しそう。

The Amazing!!

USJのおみやげに「すぱいだぁ麺」をもらいました（2008年10月21日の日記参照）ので、食べました。

すぱいだぁ麺の箱

箱はとにかく赤いです。SPIDER-MANはカタカナで「スパイダーマン」と読むより「すぱいだぁ麺」という当て字の方が実は良い発音かも。さすがUSJそこまで考えて…るわけないですね。

すぱいだぁ麺

中にはカップ麺が3つ入っています。一つ取り出してみました。

すぱいだぁ麺のなると

カップ麺にはスパイダーマンのなるとが入っています。普通の醤油ラーメンといえばそれまでですが、なかなかおいしいです。

製造元は日清食品

カップ麺の製造元は日清食品でした。そりゃまあ手堅いとこ選びますよね。

単に外されただけ？

ラテールのnProtect GameGuardですが、いくつかの機能が外されているようです。ゲーム本体のプロセス隠蔽（rootkit）は相変わらずですけど。

今のところ気づいたのは Synergyが使えるようになったことです。以前であればSynergyが止まったり、ハングしたりしたもんですが…。方針転換かしら。

改良？

今まではKaperskyとラテールを同時に動かすとハングしていたのですが、いつのまにかハングしなくなっていました。デスクトップで遊べるようになって快適です。

一方でnProtect GameGuardがより巧妙なrootkitになっています。アップデートもこっそりやるようになったし、タスクトレイのアイコンも出さなくなりました。開始、終了時の猛烈なHDDアクセスは低減されたような気がします。

ペプシの白

白いペプシ（PEPSI WHITE）が出ていたので買いました。真っ白です。カルピスソーダのような味を想像しつつ買ってみました。

開けるとカルピス臭がします。とりあえず、ぐいっといってみる。うん、なんか苦い！そしてまずい！青同様の外れ商品です。素直にカルピスソーダ飲んだ方が幸せになれます。

写真を取り忘れてしまいました。もう一回買えば良いんだけど、もう飲みたくない…。