模拟器搜索内存

最新推荐文章于 2024-04-28 14:33:09 发布
最新推荐文章于 2024-04-28 14:33:09 发布
阅读量1k 收藏 4
点赞数
分类专栏: 技术经验积累 文章标签: c++ 内存管理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/likun_vc/article/details/122797841
版权

可以搜索内存,包括模拟器内存。

SearchMemer.h

#pragma once
#include <vector>


#define BLOCKMAXSIZE 409600//每次读取内存的最大大小

class SearchMember
{
public:
	SearchMember();
	~SearchMember();

private:
	BYTE* MemoryData;//每次将读取的内存读入这里
//初始化MemoryData大小
//BYTE* MemoryData = new BYTE[BLOCKMAXSIZE];
	short Next[260];
public:
	void SearchMemoryBlock(HANDLE hProcess, WORD* Tzm, WORD TzmLength, unsigned __int64 StartAddress, unsigned long size, std::vector<unsigned __int64>& ResultArray);
	int SearchMemory(HANDLE hProcess, char* Tzm, unsigned __int64 StartAddress, unsigned __int64 EndAddress, int InitSize, std::vector<unsigned __int64>& ResultArray);

	BOOL TzmAddSpace(CStringA& strTzm);
	WORD GetTzmArray(char* Tzm, WORD* TzmArray);
	void GetNext(short* next, WORD* Tzm, WORD TzmLength);
};

SearchMemer.cpp

//https://www.cnblogs.com/LyShark/p/15019490.html
#include "stdafx.h"
#include "SearchMemer.h"
//using namespace std;

SearchMember::SearchMember()
{
}

SearchMember::~SearchMember()
{
}


//特征码转字节集
WORD SearchMember::GetTzmArray(char* Tzm, WORD* TzmArray)
{
	int len = 0;
	WORD TzmLength = (WORD)strlen(Tzm) / 3 + 1;

	for (UINT i = 0; i < strlen(Tzm); )//将十六进制特征码转为十进制
	{
		char num[2];
		num[0] = Tzm[i++];
		num[1] = Tzm[i++];
		i++;
		if (num[0] != '?' && num[1] != '?')
		{
			int sum = 0;
			WORD a[2];
			for (int i = 0; i < 2; i++)
			{
				if (num[i] >= '0' && num[i] <= '9')
				{
					a[i] = num[i] - '0';
				}
				else if (num[i] >= 'a' && num[i] <= 'z')
				{
					a[i] = num[i] - 87;
				}
				else if (num[i] >= 'A' && num[i] <= 'Z')
				{
					a[i] = num[i] - 55;
				}

			}
			sum = a[0] * 16 + a[1];
			TzmArray[len++] = sum;
		}
		else
		{
			TzmArray[len++] = 256;
		}
	}
	return TzmLength;
}

//获取Next数组
void SearchMember::GetNext(short* next, WORD* Tzm, WORD TzmLength)
{
	//特征码(字节集)的每个字节的范围在0-255(0-FF)之间,256用来表示问号,到260是为了防止越界
	for (int i = 0; i < 260; i++)
		next[i] = -1;
	for (int i = 0; i < TzmLength; i++)
		next[Tzm[i]] = i;
}

//搜索一块内存
void SearchMember::SearchMemoryBlock(HANDLE hProcess, WORD* Tzm, WORD TzmLength, unsigned __int64 StartAddress, unsigned long size, std::vector<unsigned __int64>& ResultArray)
{
	MemoryData = new BYTE[BLOCKMAXSIZE];
	if (!ReadProcessMemory(hProcess, (LPCVOID)StartAddress, MemoryData, size, NULL))
	{
		delete[] MemoryData;
		return;
	}

	for (UINT i = 0, j, k; i < size;)
	{
		j = i; k = 0;

		for (; k < TzmLength && j < size && (Tzm[k] == MemoryData[j] || Tzm[k] == 256); k++, j++);

		if (k == TzmLength)
		{
			ResultArray.push_back(StartAddress + i);
		}

		if ((i + TzmLength) >= size)
		{
			delete[] MemoryData;
			return;
		}

		int num = Next[MemoryData[i + TzmLength]];
		if (num == -1)
			i += (TzmLength - Next[256]);//如果特征码有问号,就从问号处开始匹配,如果没有就i+=-1
		else
			i += (TzmLength - num);
	}
	delete[] MemoryData;
}

//搜索整个程序
int SearchMember::SearchMemory(HANDLE hProcess, char* Tzm, unsigned __int64 StartAddress, unsigned __int64 EndAddress, int InitSize, std::vector<unsigned __int64>& ResultArray)
{
	
		int i = 0;
		unsigned long BlockSize;
		MEMORY_BASIC_INFORMATION mbi;

		WORD TzmLength = (WORD)strlen(Tzm) / 3 + 1;
		WORD* TzmArray = new WORD[TzmLength];

		GetTzmArray(Tzm, TzmArray);
		GetNext(Next, TzmArray, TzmLength);

		//初始化结果数组
		ResultArray.clear();
		ResultArray.reserve(InitSize);
		try
		{
			while (VirtualQueryEx(hProcess, (LPCVOID)StartAddress, &mbi, sizeof(mbi)) != 0)
			{
				//获取可读可写和可读可写可执行的内存块
				if (mbi.Protect == PAGE_READWRITE || mbi.Protect == PAGE_EXECUTE_READWRITE)
				{
					i = 0;
					BlockSize = mbi.RegionSize;
					//搜索这块内存
					while (BlockSize >= BLOCKMAXSIZE)
					{
						SearchMemoryBlock(hProcess, TzmArray, TzmLength, StartAddress + (BLOCKMAXSIZE * i), BLOCKMAXSIZE, ResultArray);
						BlockSize -= BLOCKMAXSIZE; i++;
					}
					SearchMemoryBlock(hProcess, TzmArray, TzmLength, StartAddress + (BLOCKMAXSIZE * i), BlockSize, ResultArray);

				}
				StartAddress += mbi.RegionSize;

				if (EndAddress != 0 && StartAddress > EndAddress)
				{
					free(TzmArray);
					return ResultArray.size();
				}
			}
			DWORD err = GetLastError();
		}		
		catch (...)
		{
			AfxMessageBox(L"SearchMemory err");
		}		
		free(TzmArray);
		return ResultArray.size();
}

BOOL SearchMember::TzmAddSpace(CStringA& strTzm)
{
	if (strTzm.Find(" ") > 0)
	{
		return TRUE;
	}
	CStringA strNew;
	for (int i = 0; i < strTzm.GetLength(); i++)
	{
		strNew.Append(CStringA(strTzm.GetAt(i)));
		if (i != 0 && (i + 1) % 2 == 0)
		{
			strNew.Append(" ");
		}
	}
	strNew.Trim();
	strTzm = strNew;
	return TRUE;
}

调用:

CStringA strTemp = "210000000F000000????????D5DCA4C5";
SearchMember sm;
sm.TzmAddSpace(strTemp);
sm.SearchMemory(hProcess, strTemp.GetBuffer(strTemp.GetLength()), 0x1001B02E, 0x6FFFFFFF, 1, ResultArray);
strTemp.ReleaseBuffer();

圆道
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
C++搜索内存特征码 支持模糊匹配
wtujoxk的博客
04-06 383
【代码】C++搜索内存特征码 支持模糊匹配。
模拟器特征码搜索源码E语言
08-31
【E语言】模拟器特征码搜索源码,查找特征码思路:使用CE内存工具,先找到模拟器动态地址,浏览相关区域前后的字节,每次重开没有变化或大变化,小部分变化可以使用通配符?,获取后在偏移到动态地址位置。
C++ 特征码搜索支持问号搜索 开源
08-09
C++ 特征码搜索支持问号搜索 开源
易语言手游内存读写模块4.0版本,支持X86X64模拟器,支持内部基地址
最新发布
u012151406的博客
04-28 381
易语言手游内存读写模块展示
Windows C/C++与游戏逆向辅助开发
06-08
学习C/C++基础, 并从内存和汇编的角度深入理解C++, 为以后的逆向做好基础铺垫学习Windows常用API函数、网络通信(socket和http协议)、线程池等 实战MFC、大漠插件、雷电模拟器控制、MySQL数据库操作基础、Lua、游戏逆向分析、内核驱动基础
Sunday算法实现内存快速搜索特征码(支持带问号)
吾无法无天的博客
10-07 9174
效果图: 代码: #include<Windows.h> #include<iostream> #include<vector> #include<time.h> using namespace std; #define BLOCKMAXSIZE 409600//每次读取内存的最大大小 BYTE* MemoryData;//每次将读取的...
C/C++ 内存遍历与KMP特征搜索
CSDN
06-08 1万+
KMP(Knuth-Morris-Pratt)算法是一种字符串匹配算法,用于在一个文本串中查找一个模式串的出现位置。它利用了模式串自身的特性,避免了不必要的回溯操作,从而提高了匹配效率。KMP算法的核心思想是利用模式串中已经匹配过的信息,避免在文本串中进行无效的比较。它通过预处理模式串,构建一个部分匹配表(也称为next数组),用于指导匹配过程。部分匹配表记录了模式串中每个位置之前的最长公共前缀和后缀的长度。
模拟器内存搜索工具V1.35
08-17
模拟器内存搜索工具V1.35:深入解析与应用》 在现代电子游戏行业中,模拟器已经成为了玩家体验经典游戏或者进行游戏调试的重要工具。而“模拟器内存搜索工具V1.35”正是这样一款专为模拟器设计的实用软件,它允许...
HTD_PC模拟器内存分析工具 (版本号:3.3).rar
07-11
总的来说,HTD_PC模拟器内存分析工具(版本号:3.3)是一款强大的开发辅助工具,它简化了对模拟器内存的分析过程,提供了高效的数据搜索和修改能力,对于提升开发效率和软件质量有着显著的帮助。无论是初级开发者...
专门用于搜索、监控和编辑 Dolphin 模拟器的模拟内存 的RAM搜索_C++
06-05
一个 RAM 搜索程序,旨在在运行时搜索、跟踪和编辑Dolphin 模拟器的模拟内存。主要目标是使 GameCube 和 Wii 游戏的研究、工具辅助快速运行和逆向工程比使用替代解决方案 Cheat Engine 更方便、更容易。该程序的名称...
易语言搜索定位内存特征码
07-21
易语言搜索定位内存特征码源码,搜索定位内存特征码,SunDaySearchMemoryEx,FindProcessModule,SunDaySearchMemory,Hex2Bin,HextoDecimal,DecimalToHex,P_Bin,pDWORD,CreateToolhelp32Snapshot,Module32First,Module32...
C++ 进程内存搜索,特征码极速定位,方便找Call找地址!
04-29
C++ 进程内存搜索,特征码极速定位,方便找Call 找地址!!
Sunday算法特征码搜索极速定位基址和call地址C++(支持通配符)
11-11
Sunday算法特征码搜索极速定位基址和call地址C++(支持通配符),绝对可以用的特征码搜索基址,call的地址。上传备用。
C++ sunday算法,极速定位指定进程内存特征码
qq_22723497的博客
04-29 5265
#include <windows.h> #include <time.h> #include <iostream> using namespace std; /* findMatchingCode() 参数说明: 1) hProcess 要打开的进程句柄 2) markCode 特征码,支持通配符(??),如: 55 8b ec ?? 56 83 ec...
Sunday算法特征码搜索C++(支持通配符)
jinwei29的博客
11-11 3357
感谢论坛sunday算法和特征码搜索的参考,在原来基础上增加功能进行了少许的修改。 主要参考了以下2位大神的代码: C++ sunday算法,极速定位指定进程内存特征码!_独爱秋季的博客-CSDN博客 Sunday算法实现内存快速搜索特征码(支持带问号)_吾无法无天的博客-CSDN博客 DWORD aobScan(HANDLE hProcess, HMODULE hModule, string 特征码,int CallOffset=0,DWORD* outCallAddre=0,int B.
C++实现仿CE工具-快速内存搜索-内存特征码定位快速实现-代码很精妙
追逐光芒,追随内心
07-10 3326
第一步 进行内存属性过滤,第二步 就是拷贝内存到自身进程进行for循环遍历,这样速度不快才怪!搜索内存底层没用API函数,直接是纯汇编了。
c语言实现特征码定位内存,支持通配符
qq_31738343的博客
02-18 1525
c语言实现特征码定位内存,支持??通配符
C++特征码查找 附加案例
O8088的博客
11-05 4534
#include <stdio.h> #include <windows.h> #include <iostream> using namespace std; //参数分别为:进程句柄、特征码、偏移、读取长度、开始扫描位地置、扫描结束位置 uintptr_t hanshu_dizhi; //记录特征码对应的地址 uintptr_t ScanAddress(HANDLE process, char *markCode, int nOffset, unsigned lon.
驱动开发:内核特征码搜索函数封装
热门推荐
CSDN
10-17 1万+
在前面的系列教程如`《驱动开发:内核枚举DpcTimer定时器》`或者`《驱动开发:内核枚举IoTimer定时器》`里面`LyShark`大量使用了`特征码定位`这一方法来寻找符合条件的`汇编指令`集,总体来说这种方式只能定位特征较小的指令如果特征值扩展到5位以上那么就需要写很多无用的代码,本章内容中将重点分析,并实现一个`通用`特征定位函数。
夜神模拟器打开app闪退
07-27
你好!很抱歉听到你遇到了这个问题。夜神模拟器打开应用程序闪退...如果上述方法都无效,你可以尝试搜索相关错误信息,或者联系夜神模拟器的技术支持寻求帮助。希望这些方法能帮到你!如果你还有其他问题,请随时提问。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值