完成特征码查找工具,支持文件和进程两种方式

最新推荐文章于 2024-01-22 23:21:40 发布
最新推荐文章于 2024-01-22 23:21:40 发布
阅读量7.1k 收藏 4
点赞数
文章标签: 工具 c 游戏 windows 脚本
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/foolpanda1168/article/details/2288884
版权

 支持下面三种方式的特征码搜索,显示地址:

 BOOL scanffileself( const   char   * pfilename,TAddressList & datalst);
   // 搜索数据特征 所在位置
  int  ScanfSpec(CString sspec,INT istartaddr,INT iendaddr);
  // 根据常量附近的特征码搜索常量数据,如 
  // A1 B4 A9 91 00; mov eax,dword ptr [91A9B4] 要得到0091A9B4
  /*
0452b3C:   A1 B4A99100   ; mov eax,dword ptr [91A9B4]   ioffset=-8
0452b41:   6A 00         ; PUSH 0
0452b43:   6A 00         ; PUSH 0
0452b45:   8B50 1C       ; mov edx,dword ptr [eax+1C]   --sspec开始-- 
0452b48:   8B42 28       ; mov eax,dword ptr [edx+28]
0452b4B:   8B82 6C030000 ; mov eax,dword ptr [edx+036C] --sspec结束-- 
上述地址应该在istartaddr,iendaddr之间
 */
int  ScanfConstData(CString sspec,INT istartaddr,INT iendaddr,INT ioffset);
  // 根据函数调用附近的特征码搜索调用函数,如 
  // E8 F3 3E 10 00; call 0057BDD0 要得到0057BDD0
  /* 捡物地址
0477EC4:   8B97 10010000 ; mov edx,dword ptr [edi+110]   --sspec开始-- 
0477ECA:   8B46 20       ; mov eax,dword ptr [esi+20]
0477ECD:   52            ; push edx
0477ECE:   8B49 20       ; mov ecx,dword ptr [ecx+20]   --sspec结束--
0477ED1:   50            ; push eax
0477ED2:   81c1 D4000000 ; add ecx 0D4                  --sspec也可以在此结束-- 
0477ED8:   E8 F3 3E 10 00; call 0057BDD0 要得到0057BDD0=0477ED8+00013EF3+05  ioffset=21=d8+01-c4
上述地址应该在istartaddr,iendaddr之间
 */
int  ScanfCall_Func(CString sspec,INT istartaddr,INT iendaddr,INT ioffset);
  // 根据函数内的地址搜索函数起始地址,如 
  // 答题地址
  /*
0581550:   6A FF         ; push -1          --函数起始地址--  
0581552:   68 98308400   ; push  00843098
 ...
0581585:   8B4C24 30     ; mov ecx,dword ptr [esp+30] --sspec开始-- 
0581589:   8B5424 34     ; mov edx,dword ptr [esp+34] 
058158D:   8B86 3001 0000; mov eax,dword ptr [esi+130] --sspec结束--
0581593:   894c24 10     ; mov dword ptr[esp+10],ecx   --sspec也可以在此结束-- 
上述地址应该在istartaddr,iendaddr之间
 */
int  ScanfFuncStart(CString sspec,INT istartaddr,INT iendaddr,INT ioffset);

#宝宝
一级基址A1:abase=ScanfConstData("8B 50 1c 8b 42 28 8b 80 6c 03 00 00", 0x450000, 0x500000, -8)
小星星基址A3:abase=ScanfConstData("8D04D5 00000000 2BC2 F7D8 8D0C81", 0x450000, 0x500000, 28)
小星星基址_2A3:abase=ScanfConstData("8D04D5 00000000 2BC2 F7D8 8D0C81 A1 ???? ???? 2BC2", 0x450000, 0x500000, 28)
等级经验基址C5:gradbase=ScanfConstData("8B4424 04 DD04C5", 0x450000, 0x500000, 7)
等级经验基址00:gradbase2=ScanfFuncStart("00007940 00000000 00C08240 00000000 00B08D40 00000000 00889340",0x950000, 0x980000,-36)
发包地址1:sendcall=ScanfFuncStart("894424 18 895C24 1C 895C24 20",0x550000, 0x600000,-43)
发包地址2:dati2call=ScanfCall_Func("8B4424 08 8B4C24 0C 66C706 5600 8946 02 894E 06",0x540000, 0x600000,32)
支持如上脚本文件格式。

理论上可以找任何特征码。

界面如下:

支持上图信息存文件。 也支持地址多次搜索。

文件资源:

http://download.csdn.net/source/412122

完善名关于进程名的大小写处理。 后者对进程名忽略大小写进行比较。

http://download.csdn.net/source/415342

加了进度条

http://download.csdn.net/source/417341

增强版(用windows的sol.exe纸牌做例子,偷看牌),结合了游戏属性工具的功能。

http://download.csdn.net/source/2228703

工具应该对没有加壳的游戏是通用适用的。
进程内存不是一次读入的,是分块读入的。如图内存分布表。
大家搜索的时候,如果代码就找带X属性的。如果数据就找带W属性的。
如果只读数据就找带R属性的。这样会快一些。

特征码搜索,如game2spec.txt文件中,搜索只需要1-2秒,应该不算慢。
使用图示说明
地址搜索功能图示说明
foolpanda1168
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 19
    评论
特征定位器-VirTest
whg0001的专栏
02-16 6256
VirTest5.0理论分析: 目前比较常有名气的特征定位器主要有CCL与MYCCL,他们都采用文件分块定位的办法,定位效果带有运气成份,且可能每次定位出的位置都不尽相同,这个免杀带来了困难。研究杀毒软件特征时日渐久,慢慢认识到这样一个事实:杀毒软件在判断特征时,一般会解析文件格式,例如PE文件,大致过程可以认为检查这些关键项目MZ -> PE - >CODE->DATA->IMP
写了一个内存地址特征搜索工具
flashrhx
04-26 1913
实现了 1.搜索汇编上的地址 2.搜索匹配特征的内存地址 3.搜索到的地址再做+法计算,还没做读取内存指针,是直接16进制加法 4.支持通配符(就是用正则表达式来做的) 现在还不是很完善,因为一边学一边做,总觉得欠缺了啥,一些地方还得优化,先上图,过几天放源 搜索界面: 搜索结果图:搜索运用了线程同时处理,用时单位是毫秒 生成规则界面:
特征定位工具
08-07
这款特征软件相比较于ccl有很大的改善,新增复合特征定位。具体的使用方法,可以上网看。
易语言-内存特征搜索
06-29
支持 01 ?? 01 ??  或 01??01?? 这种类型特征最主要目的是演示如何提高搜索的效率而已 当然我只是做了一小段的优化处理 这并不可能百分百提高或许还会拖慢搜索的效率 最后呢,如果想提高效率就多动动脑做前期的处理 如果你直接按着顺序来的话 1 过 2 过 3 那我没话可说了, 懂了吗
Windows 程序文件特征识别定位方法
最新发布
溡漪幽博客
01-22 1002
常见的文件特征识别定位是基于硬编指令定位、逻辑偏移量等方法,这种方法对于定位字符串等相对固定的数据非常友好。但是,对于编译程序中经常更新的组件,定位其中的指令代就会因为版本更新而需要同步更新定位方法。文本介绍一种基于控制流程和函数调用链导向的特征匹配定位方法,同时也从个人有限的角度去分析如何更好地选择特征特征是一串二进制字符串,可以用来定位数据、判断字段、识别病毒等。特征通常是从文件或汇编代中提取。特征可以被杀毒软件用来扫描病毒,也可以被病毒用来修改或掩,实现免杀。
易语言搜索定位内存特征
06-01
易语言搜索定位内存特征。Sunday算法是Daniel M.Sunday于1990年提出的字符串模式匹配。其核心思想是:在匹配过程中,模式串发现不匹配时,算法能跳过尽可能多的字符以进行下一步的匹配,从而提高了匹配效率。注意:测试代查找易语言e.exe模块加载call需要的地址(EP助手里面扣出来的演示代)。模块加载call调用(在开发插件的小伙伴可以直接使用)。@易语言学习论坛-ybhacker。
易语言-易语言搜索定位内存特征
06-25
易语言搜索定位内存特征 Sunday算法是Daniel M.Sunday于1990年提出的字符串模式匹配。其核心思想是:在匹配过程中,模式串发现不匹配时,算法能跳过尽可能多的字符以进行下一步的匹配,从而提高了匹配效率。 注意:测试代查找易语言e.exe模块加载call需要的地址(EP助手里面扣出来的演示代) 模块加载call调用(在开发插件的小伙伴可以直接使用)
C++ 进程内存搜索特征极速定位,方便找Call找地址!
04-29
C++ 进程内存搜索特征极速定位,方便找Call 找地址!!
特征定位器】
PE_Hacker的博客
04-21 1965
初衷:研究漏洞,病毒分析; 很多.exe/.dll 被杀毒软件无情的杀掉; 但是我们却不知道为什么会被它们扼杀在摇篮里面; 怎么办?死可以死,但是想要知道怎么死的,那我们就用特征定位工具来找找看; 看是在内存的哪个位置,被杀掉的;利于后期分析; 使用:来看看是哪里被杀掉了; 一、准备工作 1.1:关闭杀毒软件,微软自带的也关掉; 1.2:准备一个被杀掉的exe或dll文件,来分析它; 二、制作/载入目标程序 2.1:打开特征定位工具,点击制作目标程序,会在同路径下生成一个加了”.new“后缀名的文件
Punti特征定位器(原SignatureTest) 2022 Q1V1
YoseZang的博客
01-03 1118
Punti 特征定位器 2022 Q1V1 提前给大家拜早年,SignatureTest定位器现正式更名为Punti,仍然开源,希望大家能善用这款工具用于研究而不是搞破坏。 功能更新 修正了菜单中复制特征时空选的错误。 软件截图 下载地址 链接:https://pan.baidu.com/s/1sc-clAn_XzObutb8Tu-Ypw 提取:hpny 法律相关声明 请在道德及法律允许的范围内进行研究及使用本软件。请勿将代用于商业用途及非授权的其他性质用途,违者属于侵犯作者本人的
易语言x64位特征搜索技术(可搜索全内存范围0-7FFFFFFFFFFFFFFF)
hzw320的博客
10-22 7371
新模块里面我开发加入了对x64游戏操作的很多功能。 今天我来讲解下其中一个方面的功能,就是特征搜索方面的, 目前已经发布的模块版本中虽然有特征搜索的命令,但仅限于32位的程序使用, 所以对64位游戏进行特征定位搜索也是需要一个这样的功能的, 因为很多写64位游戏的用户需要更新辅助里各种基址, 就会需要用到特征来快速更新辅助所需的基址信息,所以这个功能也是尤为重要的。 为了方便使用我们Game-EC 驱动模块的人, 快速找到自己需要的命令名称,所以凡事对x64程序操作的命令名称我在模块里命令都以: x
内存读写支持库开源 x64进程特征搜索及完善的内存读写-易语言
06-13
应该是不再更新了 老说着火绒报毒啥的 直接开源自己看着用就好 哪个驱动报毒自己把它删掉就好 写支持库的初衷是整合了下资源便于自己可以方便点 在不同系统下都可以对游戏进行内存读写
一款给力的特征查询工具
12-17
本程序可用于定位EXE程序的特征所在位置
特征搜索工具
04-13
http://blog.csdn.net/foolpanda1168/archive/2008/04/13/2288884.aspx 后面地址,修改了进程名bug,应该忽略大小写。 http://download.csdn.net/source/415342 加了进度条 http://download.csdn.net/source/417341
特征搜索
06-10
支持通配符,通配符为两个?号,也就是 ??,举个例子 03 58 ?? 24 32 ??11 45 支持直接扫描硬盘上的EXE文件,就是游戏的客户端文件 也可以扫描开启的游戏内存。两种方式支持特征和OD中的搜索一样
大漠插件2.1151--前后台,文字识别,图色,键鼠,窗口,内存
12-24
4. 解决后台特征失效的BUG。(上一个版本的问题) 5. 优化FindXXXX等的查询速度. 同时接口FindIntEx FindFloatEx FindDoubleEx FindStringEx FindDataEx参数变更. 6. 解决FindMultiColor和FindMultiColorEx在某些...
逆向工程实验报告.docx
03-11
实验工具介绍 在现代操作系统中,可以将调试器粗略地分为两种不同的风格:用户模式调试器 和 内核模式调试器。用户模式调试器是一种普通的应用程序,它将自己加在另一个进程(即被调试程序)之上,并可以完全控制该...
易语言程序免安装版下载
04-07
 支持静态链接其它编程语言(如C/C++、汇编等)编译生成的静态库(.LIB或.OBJ),但仅限于COFF格式,支持cdecl和stdcall两种函数调用约定。  使用说明如下:函数声明和调用方法与DLL命令一致;“库文件名”以.lib...
易语言模块914个
03-12
判断XP外观支持文件是否存在.ec 判断字符模块.ec 判断数据库.ec 判断进程是否存在的模块.ec 到文本.ec 办公组件密管理模块.ec 功能集一模块 1.0.ec 功能集一模块.ec 加入好友.ec 加密.ec 加密解密文本....
文件特征的提取
05-28
文件特征提取是指从文件中提取出具有代表性的特征,通常用于文件分类、相似度比较、恶意软件检测等领域。常用的文件特征提取方法主要有以下几种: 1. 哈希值提取:将文件转换成哈希值,常用的哈希算法有MD5、SHA1等,哈希值可以作为文件的唯一标识符。 2. N-gram特征提取:将文件内容转换成N-gram序列,N-gram是指连续的N个字符或单词,可以用于文本分类、恶意软件检测等领域。 3. 图像特征提取:对于图像文件,可以使用局部特征描述符提取方法,如SIFT、SURF、ORB等,提取图像的局部特征。 4. 元数据提取:文件的元数据包括文件名、大小、创建时间、修改时间、作者、版本号等信息,这些信息可以作为文件特征。 下面是一个使用MD5哈希值提取文件特征的Python代示例: ```python import hashlib # 定义一个函数,用于计算文件的MD5哈希值 def get_file_md5(filename): with open(filename, 'rb') as f: md5_obj = hashlib.md5() while True: data = f.read(4096) if not data: break md5_obj.update(data) return md5_obj.hexdigest() # 调用函数,计算文件的哈希值 filename = 'example.txt' file_md5 = get_file_md5(filename) # 输出文件的哈希值 print(file_md5) ``` 在这个示例中,我们定义了一个`get_file_md5`函数,用于计算指定文件的MD5哈希值。然后,我们调用这个函数,传入要计算哈希值的文件名,获取文件的哈希值。最后,我们输出文件的哈希值。这个哈希值可以作为文件特征,用于文件的分类、相似度比较、恶意软件检测等领域。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 19
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值