身内の勉強会でバイナリを見る話をしたときの発表資料。内容は基本的にmurachueさんの目grep入門 +解説(http://www.slideshare.net/murachue/grep-8132856)を参考に作ってるので、ほぼ同じような内容です。

1. 言い訳
勉強会窓にkonoizさん追加し忘れていたことに
今気がついてしまったんですよ
明日15:00からですが参加しますか
私も資料今から作るのでいけます
その理屈はおかしい
昨日の22時頃…

2. 言い訳
一応昨日の夜から資料つくり始めたんですけど作っ
てる途中で「あ、これダメだ」ってなったのを二
つほどボツにして昼ごろにこの資料を作り始めた
のではやい話が準備不足とかいうレベルじゃなく
てまともな資料ができてないし何より話す内容も
ちゃんと考えてないからこの後どうなるか私にも
皆目検討が付かなくてつまり何が言いたいかって
いうと先に謝っときますごめんなさい

3. 目grep
by @konoiz
公開版: 青のボックスで
幾つか補足をつけてます。

4. 目grepとは
• 早い話がバイナリエディタでバイナリを見ること
• 目でバイナリをgrepする
※grep: テキストファイルから文字列を検索するUNIXコマンド
補足: 単に「目でgrep」という事なので、実際はバイ
ナリに限った言葉ではない。身近な所だと「合格発表
の掲示から受験番号を探す」のも一種の目grep。

5. バイナリ見たことありますか?

6. とりあえず見てみる
• バイナリエディタで開いてみる
• WindowsならBzやStirling
• MacならiHexや0xED
• UNIX系ならhexdumpコマンド

7. とりあえず見てみる
• 今から4種類のバイナリを表示します
• 分かったら答えてください

9. 1バイトを1ドットとしてbitmap表示
0x00(null)が白
0x01 - 0x1F (ASCII制御文字)が水色
0x20 - 0x7F (ASCII文字)が赤
0x80 - 0xFF が黒
補足: 真ん中はバイナリを16進表記にして1バイト毎
に区切ったもの、右側はそれをASCIIと解釈して文字
にしたもの(ASCIIに存在しないものは.で表示)

13. 今ので初級編

14. 初級編……?
• 実は4つとも右側のASCIIのところに答えが出
てる
• ファイルの区別用のシグネチャ(ヘッダ)がすご
く独特な奴ら

15. 思いっきりPNGってかいてある
圧縮されているためバイト列がランダム
になってbitmapにするとぐちゃぐちゃ

16. 思いっきりPDFってかいてある
PDFは複数のオブジェクトで構成され、そ
のオブジェクトのヘッダにはASCII文字が
そのまま入っているため、赤い帯が出現
細かなデータは圧縮されているのでぐちゃ

17. WindowsまたはMS-DOCのEXE
ファイルを示すシグネチャ
Windows用であることを示す文言
(DOSで実行すると表示される)
見る人が見ればx86_64であること
がわかるらしい
補足: 実はここにPE00というWindows用EXEである事を示すシグネチャがある。その直
後の0x4c 0x01はi386である事を示す……って書いてて気づいたけどこのファイルx86_64
じゃなかった。ごめんなさい。x86_64ならここは0x64 0x86(LEで0x8664)になります。

18. zipを示すシグネチャ
開発者のPhil Katzさんに由来
圧縮されているのでぐちゃぐちゃ
補足: 正確にはPKWAREのPKさんが作った
PKZIPというソフトのファイルなのでPK
補足: 中に入ってるファイルのパスがそのまま書かれてる
のが見えるので、このzipの中には動画ファイルが入ってる
事がわかる。ちなみにlollipops.wmvはCS1.6という古い
FPSゲームの動画 -> nicovideo.jp/watch/sm7138456

19. 中級編

24. わかりました?

25. 中級編
• 実は4つともテキストファイル
• 1番目以外は内容も同じ
• 文字コードが違う
補足:2∼4番目のファイルの正体はWindowsのライセンス文で、
C:¥Windows¥System32¥License.rtfをplain textにしてメモ帳で保存
しなおしたもの。ちなみにメモ帳では名前をつけて保存する際にファイ
ル名と一緒に文字コードを指定できるが、日本語版Windowsでは選択肢
のうちANSIがShift_JISを、UnicodeがUTF-16の事を指している。

26. ASCIIのテキストファイルなので
そのまま表示できてる
(よく見るとCSVなのもわかる)
文字だけなので真っ赤
時々改行コードの水色

27. ASCII部分はそのまま表示
ASCII文字と区別するためのMSB
が立ってるせいで黒っぽい
ひらがなの82xxや片仮名の83xx
が多く出現する
Shift_JIS
補足: 実はBZの場合、表示メニューから右側で表示する文字コード
を変更する事ができる。テキストっぽいと思ったらとりあえずSJIS
やUTF-8を試すと良い。文字コード指定は大抵のエディタで可能。

28. UTF-8
ASCII部分はそのまま表示
かなり黒っぽい
ひらがなのE3 81 xxや片仮名の
E3 83 xxが多く出現する
補足: 実は0xEFBBBFはBOMでUTF-8でしか出てこないので、ここ
で判断する事が可能。ただし、UTF-8はBOM無しの場合が多い。

29. UTF-16
BOM (Byte Order Mark)
FF FEまたはFE FF
ASCII部分は文字の前にnullが付
いて飛び飛びに見える
基本的に赤っぽい
ASCII文字が入ってるとnullのせい
で白のシマシマができる

30. 上級編

33. どうでしょう?

34. 上級編
• 実はどちらもLinuxの実行ファイル
• プログラムの内容も同じ
• アーキテクチャが違う

35. x86な実行ファイルはぐちゃぐちゃ
(命令が可変長のため)
x86
実行ファイルであることを示すシグネチャ
8バイト目が00
Linuxを示すマジックナンバー
ちなみにFreeBSDだと09
補足: 正式名称はExecutable and Linkable Format。
名前にLinkableとある通り共有ライブラリ(拡張子.so等)
などの場合もあるので、単体で実行できるとは限らない。

36. 実行ファイルであることを示すシグネチャ
armは命令が固定長なので縦が う
8バイト目が00
Linuxを示すマジックナンバー
ちなみにFreeBSDだと09
arm
補足: 実際には縦が ってるだけではRISC系であろうことがわかる
だけでarmであることまでは特定できない。きちんと特定するには
ELFヘッダのe_machine (0x12)を見て値が0x28であることを確認
する。ちなみに、x86(i386)は0x03、x86_64 (amd64)は0x3e。
詳細はelf formatやelf-em.hなどでググると良い。

37. で、これ何に使うの?

38. 用途
• 普通は必要ない
• セキュリティ系CTFとかでるなら必要
• リバースエンジニアリングする時とかには役に立
つかもしれない
• 個人的にはゲームとかでよくある のdatファイル
なんかを覗いて遊んだりしてます
補足: CTFのように意図的にヘッダ
が取り除かれていたり、ファイルが破
損したりているケースを除けば、大抵
はfileコマンドを使用して容易にフォー
マットを特定する事が可能。

39. メリット
• 普段から目grepしてると色んなファイルの
ファイルフォーマットが覚えられる
➡ 特定のファイルフォーマットを(バイナリレ
ベルで)弄るプログラムをすぐ書けるように
➡ まぁ今時そんなことする機会はあんまりない

40. 今日からバイナリの世界へ…