マビプログラムフォルダを晒してみる |
アルファ_tar | 09/06/06 18:38 |
とりあえずサーバクラックの可能性は考えない。ユーザからは検証も対応もやりようがないから。
クライアント側がクラックされたとしたらどこか?
考えてみれば銀行PASSをつけていても破られた、という報告があり、銀行PASSはマビクライアント以外に入力するはずが無い。で、何らかの手段でマビクライアントそのものが改竄されてるんじゃないか、と考えた。
そこで c:\Program files\Mabinogi 以下のファイルの日時とサイズを確認してみたい。
以下はうちのマシン(Vista)のc:\Program files\Mabinogi と c:\Program files\Mabinogi\system\mss の中のファイル一覧。うちにはもう一台マビをインストールしたマシン(XP)があり、XPの方は一度クリーンインストールしたせいか微妙にファイルが違っていた(ファイルが少ない)。
* はVistaにあってXPに無かったファイル
** はファイルサイズは同じだが日時が違っていたファイル
*** はファイルサイズも日時も違っていたファイル
記号の無いファイルは日サイズとも一致していた。
(ディレクトリは違っていて当然なのであえて比較してない)
C:\Users\exx>dir /on "c:\Program files\Mabinogi
2006/06/26 17:26 135,184 accsvc.dll *
2008/11/24 16:32 363,008 bdcap32.dll
2008/11/24 16:32 4,339,712 bdcore32.dll
2002/06/25 09:50 358,963 binkw32.dll
2009/06/03 14:06 143,392 Client.exe
2003/07/11 12:14 813,568 dbghelp.dll
2008/01/31 09:44 694 default.reg
2009/05/29 11:06 1,110,016 ESL.dll
2009/05/29 11:07 2,990,080 EXL.dll
2007/06/12 18:26 163,521 GameGuard.des
2002/08/26 17:45 352,256 ijl15.dll
2009/03/03 22:24 1,011,712 Mabinogi.exe **
2007/02/13 16:28 369 MabinogiJP.ini *
2006/12/01 22:03 1,869 Microsoft.VC80.CRT.manifest
2009/06/03 14:06 999,424 Mint.dll
2008/04/19 07:26 <DIR> movie
2009/05/01 06:07 <DIR> mp3
2004/08/18 10:39 372,224 Mss32.dll
2004/04/18 12:34 499,712 msvcp71.dll *
2006/12/01 22:54 548,864 msvcp80.dll
2004/04/18 12:34 348,160 msvcr71.dll *
2006/12/01 22:54 626,688 msvcr80.dll
2007/03/09 16:53 37,152 npkcbk64.exe
2007/02/23 16:01 29,472 npkcft64.sys
2007/08/02 12:33 80,528 npkcmsvc.exe
2006/12/01 11:07 109,829 npkcnt4.sys
2007/08/02 12:33 420,472 npkcrypt.dll
2007/06/26 10:39 35,600 npkcrypt.sys
2006/11/30 18:01 27,368 npkcrypt.vxd
2007/04/20 16:49 24,272 npkcusb.sys
2005/11/09 20:19 53,248 npkpdb.dll
2007/03/12 15:02 28,448 npkuft64.sys
2007/08/07 17:36 46,600 npkuninst.exe
2009/06/03 14:06 585,728 Oasis.dll
2009/06/04 21:16 <DIR> package
2009/06/03 14:06 7,352,320 Pleione.dll
2009/06/03 14:06 3,416,064 Renderer2.dll
2007/11/12 14:51 167,936 Sahara2.dll *
2007/01/10 08:45 204,800 SecShr.dll *
2009/06/03 14:06 1,867,776 Skill.dll
2007/04/26 10:11 5,120 Spring.dll *
2009/06/03 14:06 3,416,064 Standard.dll
2007/07/06 07:56 <DIR> system
2002/04/23 13:30 237,936 unicows.dll
2007/07/06 07:56 1,654 Uninstall.lnk ***
2008/12/04 16:41 111,104 Uploader.dat
2009/06/03 14:37 5,326 va.dat
2009/06/03 14:37 5,326 vacache.dat
2008/09/04 15:14 54,272 vcomp90.dll
2009/06/04 21:16 4 version.dat **
46 個のファイル 33,503,835 バイト
c:\Program files\Mabinogi\system\mss のディレクトリ
2004/08/17 00:38 100,352 mssa3d.m3d
2004/08/18 10:40 81,920 mssds3d.m3d
2004/08/18 10:39 115,200 mssdsp.flt
2004/08/18 10:40 90,624 mssdx7.m3d
2004/08/18 10:40 137,728 msseax.m3d
2004/08/18 10:40 146,432 mssmp3.asi
2004/08/17 00:38 372,224 mssrsx.m3d
2004/08/18 10:40 77,824 msssoft.m3d
2004/08/17 00:41 214,528 mssvoice.asi
9 個のファイル 1,336,832 バイト
すまんけど、手の空いている方はちょっと確認してもらえないか?
なんでやねん_tar | 更新時間とかは後から外部のプログラムで操作できるから 比較してもそれほどの意味は無かったり…比べるならハッシュ 09/06/06 19:28 |
アルファ_tar | じゃあ言いだしっぺからハッシュリスト作ってくれや 09/06/06 19:32 |
なんでやねん_tar | MS標準でそんなことのできるコマンドラインツールがあれば 私が教えて欲しいくらいです。 09/06/06 19:42 |
ユラリエッタ_mar | * はVistaにあってXPに無かったファイル 私はXP Homeを使ってて独立パーテーションへインストール 半年近く経過してますが*以外は同じファイルがあります ** はファイルサイズは同じだが日時が違っていたファイル 起動記録の処理だと思われます *** はファイルサイズも日時も違っていたファイル 起動時に当てられるパッチでファイル本体が増減しています その記録時の時間で記録されているのだと思われます 09/06/14 16:43 |
純白のありす_tri | 比較するなら、バイナリで比較するのが一番とは思うけど、そもそも何を正とするのか?と、とりあえずツッコンでみる 09/06/06 19:29 |
アルファ_tar | 起動時に自動でパッチあててるからデータファイルならともかくEXEやDLLなら全員一致してるはずだろ? 09/06/06 19:33 |
ウィノア_mar | ( ・ω・)そろそろこの手の話題が専門家以外お断り的な雰囲気が漂ってきてます… 09/06/06 19:44 |
流星ジョニ一_tar | U-ω-)というか今日はいつにも増してこの手の記事が… 09/06/06 19:47 |
工リザベス | これはアカウント流出被害者が自分のと比較するのにいいかもしれませんね。 ただ、キーロガーとかはマビフォルダには入ってないでしょうけど>< 銀行ロックしてた人でソフトキーだけしか使ってなくても抜かれたって人はいるのかな? 09/06/06 19:46 |
愛と平和 | 現時点のハッシュ整合性チェッカー作って配布できる人はいくらでもいるだろうけど、そのプログラムの安全性を保障できないから実現は無理がありますね。 オフィシャルでハッシュも含めたファイルチェッカーがあればいいんですけど。 #クライアント改変防止のために内部で確認してるとは思いますけどね 09/06/06 20:50 |
スプリット_cic | こちらXPですが、「*」マークのうち「MabinogiJP.ini」以外はありますね。 残りの「*」マークの6個と無印のファイルは日付・サイズ共に同じです。 「*」マークのファイルがあるのはクライアントバージョン99(2006/06頃)からパッチを当て続けた物だからでしょうね。 さっき気付いたのですが、銀行のロック設定も最近のパッチで仕様が変わっていますね。 パスワードを3回間違えるとNPCとの会話からやり直すのは同じですが、以前はすぐに会話出来たのが、現在は1分間のペナルティがありすぐにはNPCとの会話が出来なくなっています。 09/06/06 21:24 |
工リザベス | こういうトピックに限って、被害に会った人の書き込みがないのはなぜ・・・? 09/06/07 15:24 |
防人螢 | 暗に本人に惰弱性があることを暗示してるんじゃないか? このくらいやる意識があれば、セキュリティ意識も低くない=被害にあう確立は少ないということなんじゃなかろうか。私はここまでやれる根性ないけど。 09/06/14 08:08 |
工リザベス | 被害に合う人は、こういう書き出しの方法も知らないってのもありますが、 実際は不正ツール使用者は中身さらせないってのを最近疑ってまして…>< 09/06/14 11:02 |
龍宮レイナ | ええと、このトピックの有用性というのは…… ようは、クラック(ハッキング)された人というのは、 こちらの被害にあっていない方のフォルダに存在していない ”不明のファイル”(?)がある。 そしてその”不明のファイル”が何らかの悪さをしている可能性が高い。 だから、クラッキングされた人は、こちらの表に載っている ”健全で安全と思われる”(?)ファイルと、 自分のハッキングされてしまったファイルとを比較してみて、 こちらに載っていないファイルがあるはずなので 比較検証し、悪さをしているファイルを特定しよう。 という目的で公開された、という認識でいいのでしょうか? 私はセキュリティ関係については一般人程度しか知識がないし プログラムなんて組めるような人間ではないので バイナリやらハッシュやらといった言葉は馴染みがないので ちょっと分かりづらくって。もちろんある程度、素人並には 調べたつもりですが…。 わたしのこの認識は合っているのでしょうか? 間違っていたらご指摘してくださいませ。 09/06/14 11:35 |
アルファ_tar | >こちらの被害にあっていない方のフォルダに存在していない >”不明のファイル”(?)がある。 >そしてその”不明のファイル”が何らかの悪さをしている可能性が高い。 半分正解。見知らぬファイルが存在している、という可能性もあるけど、私が気にしたのはマビノギクライアントプログラムそのものが改竄--パス抜きプログラムを仕込まれたバージョンに変更されていた可能性。その簡単な確認手段として、マビノギクライアントプログラムを構成しているファイルの一覧をリストアップしてみました。これらのファイルのうちどれかの日付/ファイルサイズが違っていたら、誰かに無断で改竄されていた可能性があります。 09/06/16 12:10 |
工リザベス | 現に一人、アカウント流出の被害にあった人でmabinogi.exeの日付がおかしい人が いましたね。確証はありませんが何らかの関係がある気がします。 また、要因の一つと考えられるだけで、フォルダ内が健全だから流出は起こらない と思うのは早計だったりするので注意してください>< 09/06/23 07:59 |
件名 | 名前 | 日付 | 閲覧数 | ||
2005/03/23 | |||||
2005/03/04 | |||||
2005/01/17 | |||||
+36 | utage_cic | 2009/06/09 | 2225 | ||
※元の記事は削除されました。 |
|||||
+29 | ルーリュ | 2009/06/09 | 3737 | ||
+37 | ヴァッゴ | 2009/06/09 | 6323 | ||
末っつ | 2009/06/09 | 999 | |||
+7 | ゆらき_mar | 2009/06/09 | 2855 | ||
+12 | ルーリュ | 2009/06/09 | 1846 | ||
+21 | オウバート | 2009/06/09 | 3678 | ||
+18 | 菜摘 | 2009/06/09 | 1725 | ||
+15 | 不知火灯火 | 2009/06/09 | 1612 | ||
+15 | もにゅーにゅ | 2009/06/09 | 1738 | ||
+10 | rinron | 2009/06/09 | 1545 | ||
+19 | ライディース | 2009/06/09 | 1765 | ||
※元の記事は削除されました。 |
|||||
+8 | 三流 | 2009/06/09 | 3403 | ||
+54 | Renoma | 2009/06/09 | 7216 | ||
+52 | やまだ壱 | 2009/06/09 | 7567 |
vista使用。
上のは確認に時間が・・・ 09/06/06 18:50