Sunday算法特征码搜索C++(支持通配符)

最新推荐文章于 2024-07-25 20:42:47 发布
最新推荐文章于 2024-07-25 20:42:47 发布
阅读量3.3k 收藏 15
点赞数 1
分类专栏: C++ 文章标签: 算法 c++ 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jinwei29/article/details/121265942
版权

感谢论坛sunday算法和特征码搜索的参考,在原来基础上增加功能进行了少许的修改。

主要参考了以下2位大神的代码:

 C++ sunday算法,极速定位指定进程内存特征码!_独爱秋季的博客-CSDN博客

Sunday算法实现内存快速搜索特征码(支持带问号)_吾无法无天的博客-CSDN博客



 DWORD aobScan(HANDLE hProcess, HMODULE hModule, string 特征码,int CallOffset=0,DWORD* outCallAddre=0,int BaseAddreOffset=0, DWORD* outBaseAddr=0)
	{//进程PID,模块句柄,特征码,CallOffset:找call偏移-上负下正,BaseAddreOffset:找基址偏移;偏移是从特征码地址算起
		string tzm = DeletStringPace(特征码);//删除特征码所有空格
		int tzmLen = tzm.length() / 2;//特征码长度
		if (tzm.length() % 2 != 0)/*特征码长度不能为单数*/ return 0;
		byte* tzmByte = new byte[tzmLen];//定义一个字节变量并开辟指定长度的内存空间
		int 通配符首次位置 = StringToByte(tzm, tzmByte);

		MODULEINFO mMoudleInfo;
		GetModuleInformation(hProcess, hModule, &mMoudleInfo, sizeof(mMoudleInfo));
		DWORD  ModuleBeginAddr = (DWORD)hModule;//模块开始地址
		DWORD  ModuleSize =mMoudleInfo.SizeOfImage;//模块大小
		DWORD  ModuleEndAddr = ModuleBeginAddr + ModuleSize;//模块结束地址

		BYTE *pMemBuffer = NULL;//存放读取的内存数据的缓冲区		
		MEMORY_BASIC_INFORMATION mbi;//内存信息
		clock_t nBeginTime = clock();//记录起始搜索时间

		while (ModuleBeginAddr < ModuleEndAddr)//结束条件
		{//开始扫描内存
			memset(&mbi, 0, sizeof(MEMORY_BASIC_INFORMATION));//查询地址空间中内存地址的信息
			if (VirtualQueryEx(hProcess, (LPCVOID)ModuleBeginAddr, &mbi, sizeof(mbi)) == 0)break;;
			
			if (MEM_COMMIT == mbi.State && PAGE_READWRITE == mbi.Protect || PAGE_EXECUTE_READWRITE == mbi.Protect)
			{//过滤内存空间, 根据内存的状态和保护属性进行过滤
				if (pMemBuffer) {// 申请动态内存
					delete[] pMemBuffer; pMemBuffer = NULL;
				}
				pMemBuffer = new BYTE[mbi.RegionSize];
				if (!ReadProcessMemory(hProcess, (LPCVOID)ModuleBeginAddr, pMemBuffer, mbi.RegionSize, 0))continue;
				UINT deviation = SundayCmp(pMemBuffer, mbi.RegionSize, tzmByte, tzmLen, 通配符首次位置);
				if (-1 != deviation)//deviation是偏移
				{//-1为没有找到 
					clock_t nEndTime = clock();//记录结束时间
					printf(" %x  用时:%d 毫秒\r\n", ModuleBeginAddr + deviation, nEndTime - nBeginTime);
					if (0!=CallOffset)
					{//如果是找call
						DWORD temp; 
						memcpy(&temp, &pMemBuffer[deviation  + CallOffset + 1], 4);//拷贝出对应地址上的机器码,复制4个字节
						printf(" 返回call: %X  用时:%d 毫秒\r\n", ModuleBeginAddr + deviation+ CallOffset + temp +5, nEndTime - nBeginTime);
						*outCallAddre= ModuleBeginAddr + deviation + CallOffset + temp +5;//下一条指令地址(也就是目标地址 + 5)
					}
					if (0!=BaseAddreOffset)
					{//如果是找基址
						DWORD temp;
						memcpy(outBaseAddr, &pMemBuffer[deviation + BaseAddreOffset], 4);//拷贝出对应地址上的机器码,复制4个字节
						printf(" 返回基址: %X \r\n", outBaseAddr);//
					}
					return ModuleBeginAddr + deviation;//返回特征码地址
				}
			}
			ModuleBeginAddr += mbi.RegionSize; //取下一块内存地址
		}
		return -1;//没找到返回
	}


 int StringToByte(string &markCode,byte* pMarkCode)
	{//带通配符的string字符串转byte字节数组
		int markCodeLen = markCode.length() / 2;
		int 通配符第1次出现的位置 = 0;
		//pMarkCode = new BYTE[markCodeLen];
		for (int i = 0; i < markCodeLen; i++)
		{
			string tempStr = markCode.substr(i * 2, 2);
			if (tempStr == "??")
			{
				pMarkCode[i] = 0x3F;
				if (通配符第1次出现的位置 == 0) 通配符第1次出现的位置 = i;
			}
			else {
				pMarkCode[i] = strtoul(tempStr.c_str(), 0, 16);
			}
		}
		return 通配符第1次出现的位置;
	}



 int SundayCmp(byte* dest, int destLen, byte* pattern, int patternLen, int 通配符第1次出现的位置)
	{
		int nOffset = 0;//偏移量
		int i = 0, j = 0, nCount = 0;//数组下标:内存、特征码、返回地址

		int Shift[0xFF + 1] = { 0 };//Sunday算法模板数组赋值,+1防止特征码出现FF时越界
		for (int i = 0; i < 通配符第1次出现的位置; i++) {
			Shift[pattern[i]] = i + 1;
		}

		while (j < patternLen)
		{//以特征码长度进行循环
			if (dest[i] == pattern[j] || pattern[j] == 0x3F)//0x3F代表通配符
			{//如果相等
				i++; j++;
			}
			else
			{
				nOffset = i - j + 通配符第1次出现的位置;
				if (nOffset > destLen - patternLen)/*判断偏移量是否大于缓冲区*/ break;
				if (Shift[dest[nOffset]])
				{//判断 Shift模板数组 里有没有 内存偏移后的值,有则回溯,否则+1
					i = nOffset - Shift[dest[nOffset]] + 1;
					j = 0;
				}
				else
				{
					i = nOffset + 1;
					j = 0;
				}
			}
		}
		if (j == patternLen)
		{//计算找到的目标地址://特征码地址 = 当前内存块基址 + i偏移 - 特征码长度
			return  i - patternLen;
		}
		return -1;
	}

实例:Sunday算法特征码搜索极速定位基址和call地址C++(支持通配符)-C/C++文档类资源-CSDN文库

jinwei29
关注
  • 1
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
sunday算法特征_C++ sunday算法 极速定位指定进程内存特征
weixin_32310195的博客
12-29 592
#include #include #include using namespace std;/*findMatchingCode() 参数说明:1) hProcess 要打开的进程句柄2) markCode 特征,支持通配符(??),如: 55 8b ec ?? 56 83 ec 20 ?? ?? 08 d9 ee3) memBegi...
C++ sunday算法,极速定位指定进程内存特征
qq_22723497的博客
04-29 5273
#include <windows.h> #include <time.h> #include <iostream> using namespace std; /* findMatchingCode() 参数说明: 1) hProcess 要打开的进程句柄 2) markCode 特征,支持通配符(??),如: 55 8b ec ?? 56 83 ec...
C++ 进程内存搜索特征极速定位,方便找Call找地址!
04-29
C++ 进程内存搜索特征极速定位,方便找Call 找地址!!
特征定位之aobscan命令使用
A57305887的博客
06-09 183
此处还可以用区块,增加扫描速度。
C++ SSE2、Sunday算法,极速定位指定进程内存特征
wtujoxk的博客
10-01 396
【代C++ sunday算法,极速定位指定进程内存特征
Sunday算法实现内存快速搜索特征支持带问号)
吾无法无天的博客
10-07 9192
效果图: 代: #include<Windows.h> #include<iostream> #include<vector> #include<time.h> using namespace std; #define BLOCKMAXSIZE 409600//每次读取内存的最大大小 BYTE* MemoryData;//每次将读取的...
C++ sunday算法,极速定位指定进程内存特征
vinkey_st的博客
09-24 802
【代C++ sunday算法,极速定位指定进程内存特征
Windows 程序文件特征识别定位方法
溡漪幽博客
01-22 1442
常见的文件特征识别定位是基于硬编指令定位、逻辑偏移量等方法,这种方法对于定位字符串等相对固定的数据非常友好。但是,对于编译程序中经常更新的组件,定位其中的指令代就会因为版本更新而需要同步更新定位方法。文本介绍一种基于控制流程和函数调用链导向的特征匹配定位方法,同时也从个人有限的角度去分析如何更好地选择特征特征是一串二进制字符串,可以用来定位数据、判断字段、识别病毒等。特征通常是从文件或汇编代中提取。特征可以被杀毒软件用来扫描病毒,也可以被病毒用来修改或掩,实现免杀。
GetLastError返回代含义
热门推荐
无意摘花
11-20 4万+
参考http://msdn.microsoft.com/en-us/library/ms681381(v=vs.85).aspx 【0|0】-操作成功完成。 【0x1|1】-函数不正确。 【0x2|2】-系统找不到指定的文件。 【0x3|3】-系统找不到指定的路径。 【0x4|4】-系统无法打开文件。 【0x5|5】-拒绝访问。 【0x6|6】-句柄无效。 【0x7|7】-存储控制
运维面试题
weixin_42690304的博客
09-18 2万+
运维面试题 NETWORK 1 请描述TCP/IP协议中主机与主机之间通信的三要素 参考答案 IP地址(IP address) 子网掩(subnet mask) IP路由(IP router) 2 请描述IP地址的分类及每一类的范围 参考答案 A类1-26 B类128-191 C类192-223 D类224-239组播(多播) E类240-254科研 3 请描述A、B...
Sunday算法特征搜索极速定位基址和call地址C++支持通配符
11-11
"Sunday算法特征搜索极速定位基址和call地址C++支持通配符)"这一主题涉及了程序逆向工程中的关键技术,主要是利用特定的算法搜索内存中的特征,以便快速找到代的执行起点或者关键功能点,如函数调用地址...
C++ 特征搜索支持问号搜索 开源
08-09
标题"‘C++ 特征搜索支持问号搜索 开源’"表明我们讨论的是一个使用C++编写的、具有特征搜索功能的软件或库,并且该软件或库允许用户使用问号(?)通配符进行模糊匹配。这使得开发者和研究人员能够更加灵活地...
汇编SunDay特征匹配(支持通配符)-易语言
06-12
在这个易语言的实现中,SunDay特征匹配不仅支持固定模式的匹配,还引入了通配符的概念,增加了匹配的灵活性。 易语言是一种中国本土开发的高级编程语言,它以中文语句为编程基础,降低了编程的门槛,使得非专业...
语言-汇编SunDay特征匹配源支持通配符
06-25
本文将深入探讨基于易语言实现的汇编SunDay特征匹配源,以及其支持通配符的灵活匹配模式。 SunDay特征匹配是一种高效、精准的代识别技术,它通过查找内存或文件中的特定字节序列来判断目标程序是否包含特定...
蓝桥杯 2024 年第十五届省赛真题 —— 最大异或结点
执梗的博客
07-23 1996
蓝桥杯 2024 年第十五届省赛真题 —— 最大异或结点
2024秋招算法
weixin_43364551的博客
07-22 2323
根据代随想录和力扣进行算法训练的笔记
嵌入式C++、ROS 、OpenCV、SLAM 算法和路径规划算法:自主导航的移动机器人流程设计(代示例)
最新发布
嵌入式极客小张
07-25 1457
在科技迅速发展的背景下,嵌入式自主移动机器人作为一个具有广泛应用前景的研究领域,吸引了众多开发者的关注。本文详细介绍了一个嵌入式自主移动机器人项目,重点阐述了其硬件与软件系统设计及代实现。硬件部分采用ESP32、Raspberry Pi和Arduino作为嵌入式控制器,结合激光雷达、超声波传感器和摄像头等多种传感器,实现环境感知和数据采集。软件系统基于Raspberry Pi OS,主要使用Python进行高层逻辑控制,C/C++用于实时任务处理,并利用ROS框架支持机器人开发
C语言100道基础拔高题(1)
2303_78660417的博客
07-23 3075
最后按最小值,中间值,最大值的顺序打印即可。解题思路:首先输出由这几个数字所组成的所有三位数,接着再设置条件,使其输出的三位数不重复,下面我们来看下源代。值得注意的是:所以题目的代都是作者自行编写,如有更好的思路或者代的优化,还请指出更正。解题思路:首先找到能整除这个正整数的最小正数,接着重置循环初值,让它继续查找最小正数,最后将得到的所有正数放到一个数组里,最后设置好格式之后循环打印出来。解题思路:首先确定好区间,接着判断是否是素数,素数就是一个大于1的数,除了1和它本身之外,不能被其他数整除。
sunday算法原理改进
04-21
Sunday算法是一种用于字符串匹配的快速算法,它的原理是从左到右逐个比较主串和模式串的字符,当发现不匹配时,通过查找主串中下一个字符在模式串中最右出现的位置来进行跳跃,从而减少比较次数。 Sunday算法的改进主要包括两个方面: 1. 改进1:预处理模式串中每个字符最右出现的位置 在原始的Sunday算法中,每次不匹配时只考虑主串中下一个字符的位置。改进后的算法在预处理阶段,将模式串中每个字符最右出现的位置记录下来,形成一个字符表。这样,在匹配过程中,可以根据主串中当前字符的位置和模式串中最右出现的位置来确定跳跃的步数,从而提高匹配效率。 2. 改进2:使用通配符 在原始的Sunday算法中,当发现不匹配时,只考虑主串中下一个字符的位置。改进后的算法引入了通配符的概念,即在模式串中可以使用通配符来表示任意字符。这样,在匹配过程中,当发现不匹配时,可以根据主串中当前字符的位置和通配符的位置来确定跳跃的步数,从而提高匹配效率。 以上是Sunday算法的原理改进的两个方面。如果还有其他问题,请继续提问。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值