特征码定位

已于 2022-06-11 23:09:20 修改
阅读量622 收藏 2
点赞数 1
分类专栏: C/C++ 进制转换 文章标签: c++ 开发语言
于 2022-06-10 23:27:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lwqamm/article/details/125229646
版权
这篇博客介绍了游戏特征码定位的技术,包括X64和X86平台的通用方法。文章通过实例展示了如何将字符串转换为小写,如何将十六进制字符串转换为十进制数值,以及如何判断系统是否为64位。此外,还提供了寻找特定字节集的代码实现。
摘要由CSDN通过智能技术生成

游戏特征码定位X64X86通用

在一阵优美的音乐声中我们就开始了特征码定位的课程
首先我们要做一些准备工作,安装VS2019 番茄助手。
然后就可以来学了这里就不讲了
原来创建失败是工程名中用了下划线_
下面放上我们需要的常用函数
视频地址
游戏特征码定位X64X86通用视频教程

/*大写到小写*/
char toUpper(char* src)//大写到小写
{
	char* p = NULL;
	p = src;
	while (*p)//字符串不结束就循环
	{
		if (*p >= 'A' && *p <= 'Z') //判断小写字母
			*p += 32; //转大写
		p++; //指针后指,准备处理下一个字母
	}
	return *src; //返回修改后的字符串首地址
}
/*
进制十六到十
*/
UINT64 WINAPI HexToInt(char* strhex)
{
	UINT64 Dec = 0;
	UINT64 temp = 0;
	UINT64 count = 0;
	UINT64 DecCount = 0;
	//int strlen = aHex.length();

	toUpper(strhex);
	UINT64 StrLen = strlen(strhex); //计算字符串长度
	UINT64 a = 0;
	char ch[3] = { 0 };
	UINT64 b = 0;
	char cahr[256] = { 0 };
	if (StrLen >= 3)
	{
		for (size_t i = 0; i < StrLen; i++)
		{
			memcpy(ch, strhex + i, 2);
			if (strcmp(ch, "0x") == 0)
			{
				b = i + 1;
				break;
			}
		}
		// 00xAAAA
		if (b > 0)
		{
			memcpy(cahr, strhex + (b + 1), StrLen - (b + 1));
			a = StrLen - (b + 1);
		}
		else
		{
			memcpy(cahr, strhex, StrLen);
			a = StrLen;
		}

	}
	else
	{
		memcpy(cahr, strhex, StrLen);
		a = StrLen;
	}
	//MessageBox(NULL, (LPWSTR)cahr, TEXT("提示"), 1);

	StrLen = strlen(cahr);
	if (StrLen == 0)
	{
		return 0;
	}
	while (a--)
	{
		if (cahr[count] < '0' || (cahr[count] > '9' && cahr[count] < 'A') || (cahr[count] > 'F' && cahr[count] < 'a') || cahr[count]>'f')
		{
			//cout << "输入的不是十六进制格式" << endl;
			return 0;
		}
		count++;
	}


	UINT64 sum = 0;             //用long long防止结果过大
	for (UINT64 i = 0; cahr[i] != '\0'; i++)         //最后一位是'\0',不用算进去
	{
		switch (cahr[i])
		{
		case '0': temp = 0; break;
		case '1': temp = 1; break;
		case '2': temp = 2; break;
		case '3': temp = 3; break;
		case '4': temp = 4; break;
		case '5': temp = 5; break;
		case '6': temp = 6; break;
		case '7': temp = 7; break;
		case '8': temp = 8; break;
		case '9': temp = 9; break;
		case 'A': temp = 10; break;
		case 'B': temp = 11; break;
		case 'C': temp = 12; break;
		case 'D': temp = 13; break;
		case 'E': temp = 14; break;
		case 'F': temp = 15; break;
		case 'a': temp = 10; break;
		case 'b': temp = 11; break;
		case 'c': temp = 12; break;
		case 'd': temp = 13; break;
		case 'e': temp = 14; break;
		case 'f': temp = 15; break;
		default: temp = cahr[i] - '0'; break;
		}
		sum = sum + temp * pow(16, StrLen - 1 - i);
	}
	return sum;
}

BOOL Is64BitOS()
{
	typedef VOID(WINAPI* LPFN_GetNativeSystemInfo)(__out LPSYSTEM_INFO lpSystemInfo);
	LPFN_GetNativeSystemInfo fnGetNativeSystemInfo = (LPFN_GetNativeSystemInfo)GetProcAddress(GetModuleHandleW(L"kernel32"), "GetNativeSystemInfo");
	if (fnGetNativeSystemInfo)
	{
		SYSTEM_INFO stInfo = { 0 };
		fnGetNativeSystemInfo(&stInfo);
		if (stInfo.wProcessorArchitecture == PROCESSOR_ARCHITECTURE_IA64
			|| stInfo.wProcessorArchitecture == PROCESSOR_ARCHITECTURE_AMD64)
		{
			return TRUE;
		}
	}
	return FALSE;
}

/*判断系统是否64位*/
BOOL Is64BitPorcess(DWORD dwProcessID)
{

	if (!Is64BitOS())
	{
		return FALSE;
	}
	else
	{
		HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, 0, dwProcessID);
		if (hProcess)
		{
			typedef BOOL(WINAPI* LPFN_ISWOW64PROCESS) (HANDLE, PBOOL);
			LPFN_ISWOW64PROCESS fnIsWow64Process = (LPFN_ISWOW64PROCESS)GetProcAddress(GetModuleHandleW(L"kernel32"), "IsWow64Process");
			if (NULL != fnIsWow64Process)
			{
				BOOL bIsWow64 = FALSE;
				fnIsWow64Process(hProcess, &bIsWow64);
				CloseHandle(hProcess);
				if (bIsWow64)
				{
					return FALSE;
				}
				else
				{
					return TRUE;
				}
			}
		}
	}
	return FALSE;
}

下面是寻找字节集的代码

/*
功能:寻找字节集
参数1:字节集 被寻找的字节集
参数2:字节集 欲寻找的字节集
参数3:整数型  欲寻找字节集的长度
返回:失败返回-1 成功返回标记
*/
int FindByte(const BYTE* bjbyte, const BYTE* YsTzm,int strL)
{
	//0123456789A
	//
	int a1 = 4096;
	int a = 0;
	for (int i = 0; i < a1; i++)
	{
		if (4096-i< strL)
		{
			return -1;
		}
		for (int j = 0; j < strL; j++)
		{
			if (YsTzm[j]=='?')
			{
				a++;
				continue;
			}
			if (bjbyte[i+j] !=YsTzm[j])//比较两个字符是否相等
			{
				a=0;
				break;//跳出循环
			}
			a++;//找到的次数
		}
         if (a>=strL)
		 {
			 return i;//成功找到返回标记
		 }
		 a = 0;
	}
	
	return -1;
}
C+V代码搬运工
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
d3d透视逆向篇:第6课 通过特征定位D3D函数入口地址
mutashizhe的博客
12-11 1698
第六课:通过特征定位D3D函数入口地址 换一种思路方法实现: LPDIRECT3DDEVICE9 结构体函数 LPDIRECT3DDEVICE9 g_pd3dDevice = NULL; //渲染使用中的D3D设备 DrawPrimitive渲染 虚函数,不能根据函数名称获取函数地址 HOOK? DrawIndexedPrimitive渲染 g_pd3dDevice->DrawInde...
c语言实现特征定位内存,支持通配符
qq_31738343的博客
02-18 1534
c语言实现特征定位内存,支持??通配符
特征定位器】
PE_Hacker的博客
04-21 2404
初衷:研究漏洞,病毒分析; 很多.exe/.dll 被杀毒软件无情的杀掉; 但是我们却不知道为什么会被它们扼杀在摇篮里面; 怎么办?死可以死,但是想要知道怎么死的,那我们就用特征定位工具来找找看; 看是在内存的哪个位置,被杀掉的;利于后期分析; 使用:来看看是哪里被杀掉了; 一、准备工作 1.1:关闭杀毒软件,微软自带的也关掉; 1.2:准备一个被杀掉的exe或dll文件,来分析它; 二、制作/载入目标程序 2.1:打开特征定位工具,点击制作目标程序,会在同路径下生成一个加了”.new“后缀名的文件;
病毒特征定位原理和首次使用MyCCL
bcbobo21cn的专栏
09-02 8570
一 什么是病毒特征 特征就是从病毒体内不同位置提取的一系列字节,杀毒软件就是通过这些字节及位置信息来检验某个文件是否病毒。每个杀毒软件公司都有自己的特征提取方法和提取工具,这也是特别需要技术的地方,弄不好就造成误判,将好文件当成病毒给杀了。杀毒软件公司在提取特征后,一般都需要经过较严格的测试和比对,当然也有时间紧迫,来不及充分测试就匆匆升级病毒库(也就是特征库)的情况,前不久的
Punti特征定位器(原SignatureTest) 2022 Q1V1
YoseZang的博客
01-03 1195
Punti 特征定位器 2022 Q1V1 提前给大家拜早年,SignatureTest定位器现正式更名为Punti,仍然开源,希望大家能善用这款工具用于研究而不是搞破坏。 功能更新 修正了菜单中复制特征时空选的错误。 软件截图 下载地址 链接:https://pan.baidu.com/s/1sc-clAn_XzObutb8Tu-Ypw 提取:hpny 法律相关声明 请在道德及法律允许的范围内进行研究及使用本软件。请勿将代用于商业用途及非授权的其他性质用途,违者属于侵犯作者本人的
MyCCL特征定位原理学习
人生代码,代码人生。。。
11-21 3589
这段时间学习WEB方面的技术,遇到了木马免杀特征定位的问题,这里做一下学习笔记。 这里对MyCCL的分块原理做一下探究 对指定文件生成10个切块   对指定的木马进行切块后,文件列表是这样的。   注意这里是从E0作为切块的偏移量。也就是说从E0的位置开始逐个切块,E0之前的内容是保留的。这样做的目的是保留一些PE必须的头文件信息。 我们来通过亲身的探究来解析一下MyCCL的切块区
C++特征定位
woshilxq的专栏
10-28 8131
// BaseAddrTools.cpp : Defines the entry point for the DLL application. // #include #include #include BOOL GetProcessModuleHandle(DWORD PID,const char*szModuleName,MODULEENTRY32 *pModule);//获取模块信息
第115天:免杀对抗-特征定位&添加花指令&加冷门壳&加反VT保护&资源修改
qq_46081990的博客
07-22 698
之前针对的是没有打包成exe的代做文章,现在是对打包好了的exe做文章今天针对打包好的exe免杀,介绍了以下几种技术: 1 、通用跳转法:主要思想:通过跳转至其他代区域执行代,而不是按照原始代的顺序线性执行,难以被静态查杀。利用工具(VirTest)检测特征的位置,然后将特征区域汇编移动到全0区域(即空白区),先jmp到移动后的区域,然后再jmp回来继续执行。2 、花指令改入口:花指令就是一些垃圾汇编指令(无实际操作的指令),可以使结构更加混乱,增加查杀难度,但单纯的花指令效果一般。
MYCCL特征定位器详细使用之内存定位
02-05 297
上次我们详细讲解了MYCCL特征定位器的文件特征定位,这次我们详细讲解内存特征定位。 内存特征定位前,我们必须要对木马的文件特征进行特征查找并用0填充免杀,然后才可以进行内存特征的查找定位,这是必须的。上次教程,我已经对此进行了说明。再有我们要用哪个杀毒软件进行内存定位,就必须要这个杀毒软件进行文件特征的免杀。比如有的朋友用卡巴进行文件特征定位,再用瑞星进行内存特...
MyCLL特征定位
03-09
【MyCLL特征定位器】是一款专门针对IT安全领域设计的工具,其主要功能是帮助用户进行免杀(防病毒软件绕过)的技术研究。免杀技术是信息安全领域的一个重要分支,目的是使某些程序在运行时能避开防病毒软件的检测...
FindPosition 特征定位工具
03-30
"FindPosition 特征定位工具"是一款专为IT专业人士设计的实用软件,主要用于在程序或游戏中寻找特定的特征,这些特征可以关联到特定的功能或数据。特征定位在编程、逆向工程和外挂开发等领域具有广泛应用。...
【C语言】Top K问题【建小堆】
2301_80840905的博客
08-04 415
在我们生活中,经常会遇到TopK问题。建小堆解决
C++ STL copy, move 用法
08-04 180
前向(从前向后的顺序)拷贝/移动操作,将一个容器元素拷贝/移动到另一容器中。
OD C卷 - 中庸行者
weixin_45228198的博客
08-04 185
DFS
3.C_Demo_最大公约数、最小公倍数
Fresh_man111的博客
08-03 291
假设两个数字a和b,求两个数字相除的余数c=a%b,如果余数为0,则b为最大公约数。如果b不为零,a=b,b=c,继续循环计算。两个数的最小公倍数数等于两个数的乘积除以两个数的最大公约数。即:x,y的最小公倍数 min(公倍数)=x*y÷max(公约数)参数a,b:传入的两个数值,两个数都不能为0。参数a,b:传入的两个数值,不能全为0。返回值:0代表错误,正常返回最大公约数。返回值:0代表错误,正常返回最小公倍数。功能:求a,b最大公约数。功能:求a,b最小公倍数。
c++——map、set底层之AVL树(动图演示旋转)
最新发布
2301_80687320的博客
08-05 761
我们之前学了过二叉搜索树,二这里的AVL也是一种搜索树,当我们二叉搜索树发生偏移时,搜索时间就会边长,就不树logN了,变成N;而AVL就修复了这一点。一、{}// 该节点的左孩子// 该节点的右孩子// 该节点的双亲T _data;int _bf;// 该节点的平衡因子。
【C语言篇】C语言数据类型和变量
2301_79849925的博客
07-27 811
C语⾔提供了丰富的数据类型来描述⽣活中的各种数据。 - 使⽤整型类型来描述整数 - 使⽤字符类型来描述字符 - 使⽤浮点型类型来描述⼩数 所谓“类型”,就是相似的数据所拥有的共同特征,编译器只有知道了数据的类型,才知道怎么操作数据。下⾯盘点⼀下C语⾔提供的各种数据类型,本文主要探讨内置数据类型。
myccl复合特征定位系统
05-14
myccl复合特征定位系统是一种基于二维技术的定位与追踪系统。它通过将多个二维叠加形成一张大的复合特征,并在每个二维的内部嵌入不同的信息,以实现对物品的定位与追踪。 该系统具有多种应用场景,如...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

C+V代码搬运工

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值