C/C++ 内存遍历与KMP特征搜索

已于 2023-07-10 19:03:22 修改
阅读量1.8w 收藏 3
点赞数 1
分类专栏: 《Visual C++ 编程技术实践》 文章标签: c语言 c++ 开发语言
于 2020-06-08 17:59:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lyshark_csdn/article/details/126688512
版权

KMP(Knuth-Morris-Pratt)算法是一种字符串匹配算法,用于在一个文本串中查找一个模式串的出现位置。它利用了模式串自身的特性,避免了不必要的回溯操作,从而提高了匹配效率。

KMP算法的核心思想是利用模式串中已经匹配过的信息,避免在文本串中进行无效的比较。它通过预处理模式串,构建一个部分匹配表(也称为next数组),用于指导匹配过程。部分匹配表记录了模式串中每个位置之前的最长公共前缀和后缀的长度。

具体的KMP算法匹配过程如下:

  1. 预处理模式串,构建部分匹配表(next数组)。
  2. 初始化文本串指针i和模式串指针j为0。
  3. 从左到右依次比较文本串中的字符和模式串中的字符。
    • 如果匹配成功(即文本串字符和模式串字符相等),则将指针i和j分别向右移动一位。
    • 如果匹配失败(即文本串字符和模式串字符不相等),根据部分匹配表的信息,将模式串指针j更新到合适的位置,继续与文本串中的字符进行比较。
  4. 如果模式串指针j达到模式串的末尾,则表示匹配成功,返回文本串中的匹配位置。
  5. 如果文本串指针i达到文本串的末尾,则表示匹配失败。

KMP算法通过利用部分匹配表,避免了在模式串和文本串中进行不必要的比较,减少了比较的次数,提高了匹配的效率。它的时间复杂度为O(n+m),其中n是文本串的长度,m是模式串的长度。

内存遍历

每次读入4096字节,然后每16个字符换一次行,遍历内存 0x00401000 - 0x7FFFFFFF。

#include <stdio.h>  
#include <stdlib.h>  
#include <windows.h>  

VOID ScanAddress(HANDLE process)
{
	const DWORD beginAddr = 0x00401000;
	const DWORD endAddr = 0x7FFFFFFF;
	const DWORD pageSize = 4096;

	BOOL _break = FALSE;
	BYTE page[pageSize];
	DWORD tmpAddr = beginAddr;
	while (tmpAddr <= endAddr)
	{
		::ReadProcessMemory(process, (LPCVOID)tmpAddr, &page, pageSize, 0);

		for (int x = 0; x < 4096; x++)
		{
			
			if (x % 16 != 0)
			{
				DWORD ch = page[x];

				if (ch >= 0 && ch <= 15)
				{
					printf("0%x ", ch);
				}
				else
				{
					printf("%x ", ch);
				}
			}
			else
				printf(" | %x \n", tmpAddr);
		}
		tmpAddr += pageSize;
	}
}

int main(int argc, char* argv[])
{
	HANDLE process = ::OpenProcess(PROCESS_ALL_ACCESS, false, 4748);
	ScanAddress(process);
	::CloseHandle(process);

	system("pause");
	return 0;
}

过程

#include <stdio.h>  
#include <stdlib.h>  
#include <windows.h>  

VOID ScanAddress(HANDLE Process)
{
	const DWORD beginAddr = 0x00401000;
	const DWORD endAddr = 0x7FFFFFFF;

	unsigned char shell[5] = {0x55,0x8b,0xec,0x6a,0xff};
	unsigned char *read = new unsigned char[5];


	for (int x = 0; x < beginAddr; x++)
	{
		DWORD addr = beginAddr + x;
		ReadProcessMemory(Process, (LPVOID)addr, read, 5, 0);
		printf("%x :", addr);
		for (int y = 0; y < 5; y++)
			printf("%02x ",read[y]);
		printf("\n");
	}
}

int main(int argc, char* argv[])
{
	HANDLE process = ::OpenProcess(PROCESS_ALL_ACCESS, false, 1772);
	ScanAddress(process);
	/*
	unsigned char set[] = { 4,41,55 };
	unsigned char aa[] = { 4, 41, 55 };
	int ret = memcmp(set, aa, 3);
	printf("%d \n", ret);
	*/
	//ScanAddress(process);
	//::CloseHandle(process);
	system("pause");
	return 0;
}

寻找开始

#include <stdio.h>  
#include <stdlib.h>  
#include <windows.h>  

VOID ScanAddress(HANDLE Process)
{
	const DWORD beginAddr = 0x00401000;
	const DWORD endAddr = 0x7FFFFFFF;

	unsigned char shell[6] = {0xff,0x75,0x10,0xff,0x75,0x0c};
	
	unsigned char *read = new unsigned char[6];

	for (int x = 0; x < 684032; x++)
	{
		DWORD addr = beginAddr + x;
		ReadProcessMemory(Process, (LPVOID)addr, read, 6, 0);
		int a = memcmp(read, shell, 6);

		if (a == 0)
		{
			printf("%x :", addr);

			for (int y = 0; y < 6; y++)
			{
				printf("%02x ", read[y]);
			}

			printf(" \n");
		}
	}
}
int main(int argc, char* argv[])
{
	HANDLE process = ::OpenProcess(PROCESS_ALL_ACCESS, false, 1772);
	ScanAddress(process);
	system("pause");
	return 0;
}

KMP算法搜索特征码

KMP算法每次在4096字节中寻找特征,成功返回位置,失败返回-1

#include <iostream>
#include <string>

using namespace std;

/* P 为模式串,下标从 0 开始 */
void GetNextval(string SubString, int nextval[])
{
	int SubStringLen = SubString.size();
	int i = 0;
	int j = -1;
	nextval[0] = -1;

	while (i < SubStringLen)
	{
		if (j == -1 || SubString[i] == SubString[j])
		{
			i++; j++;
			if (SubString[i] != SubString[j])
				nextval[i] = j;
			else
				nextval[i] = nextval[j];
		}
		else
		{
			j = nextval[j];
		}
	}
}

/* 在 MainString 中找到 SubString 第一次出现的位置 下标从0开始*/
int KMPSearchString(string MainString, string SubString, int next[])
{
	GetNextval(SubString, next);

	int MainStringIndex = 0;                 // 存储主字符串下标
	int SubStringIndex = 0;                  // 存储子字符串下标
	int MainStringLen = MainString.size();   // 主字符串大小
	int SubStringLen = SubString.size();     // 子字符串大小

	// 循环遍历字符串,因为末尾 '\0' 的存在,所以不会越界
	while (MainStringIndex < MainStringLen && SubStringIndex < SubStringLen)
	{
		// MainString 的第一个字符不匹配或 MainString[] == SubString[]
		if (SubStringIndex == -1 || MainString[MainStringIndex] == SubString[SubStringIndex])
		{
			MainStringIndex++; SubStringIndex++;
		}
		else   // 当字符串匹配失败则跳转
		{
			SubStringIndex = next[SubStringIndex];
		}
	}
	// 最后匹配成功直接返回位置
	if (SubStringIndex == SubStringLen)
		return MainStringIndex - SubStringIndex;
	return -1;
}

int main(int argc, char *argv[])
{
	int next[100] = { 0 };

	char *Str = "e5 8d 64 24 fc ba ff ff ff ff 92 f0 0f c1";
	char *Search = "ba ff ff ff ff 92 f0";

	// 在Str字符串中找Search子串,找到后返回位置
	int ret = KMPSearchString(Str, Search,next);

	printf("%d \n", ret);


	system("pause");
	return 0;
}

将上方代码整合,可实现根据特征码动态打补丁:

int main(int argc, char* argv[])
{
	HANDLE Process = OpenProcess(PROCESS_ALL_ACCESS, false, 2876);

	// 搜索指定特征码的地址数据.
	unsigned char FindCode[6] = { 0xff, 0x75, 0x10, 0xff, 0x75, 0x0c };
	DWORD ret = ScanAddress(Process, FindCode, 6);
	printf("特征地址: %x \n", ret);

	// 给指定位置动态打补丁
	unsigned char Pack[6] = { 0x90, 0x90, 0x90, 0x90, 0x90, 0x90 };
	WriteProcessMemory(Process, (LPVOID)ret, Pack, 6, 0);

	system("pause");
	return 0;
}
微软技术分享
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Sunday算法特征搜索C++(支持通配符)
jinwei29的博客
11-11 3501
感谢论坛sunday算法和特征搜索的参考,在原来基础上增加功能进行了少许的修改。 主要参考了以下2位大神的代C++ sunday算法,极速定位指定进程内存特征!_独爱秋季的博客-CSDN博客 Sunday算法实现内存快速搜索特征(支持带问号)_吾无法无天的博客-CSDN博客 DWORD aobScan(HANDLE hProcess, HMODULE hModule, string 特征,int CallOffset=0,DWORD* outCallAddre=0,int B.
Sunday算法实现内存快速搜索特征(支持带问号)
吾无法无天的博客
10-07 9398
效果图: 代: #include<Windows.h> #include<iostream> #include<vector> #include<time.h> using namespace std; #define BLOCKMAXSIZE 409600//每次读取内存的最大大小 BYTE* MemoryData;//每次将读取的...
语言驱动特征搜索内存技术
最新发布
hzw320的博客
06-25 172
它可以根据特征搜索有保护和无保护的游戏进程中的指定数据定位
C++ 进程内存搜索特征极速定位,方便找Call找地址!
04-29
C++ 进程内存搜索特征极速定位,方便找Call 找地址!!
特征搜索基址 c/c++源代
01-08
游戏特征搜索基址 c/c++源代 有图有解释,拿来即可用 本人亲测,可用 代来源于互联网:)
[C++] Memory Retrieval(内存检索)
weixin_34293902的博客
10-14 241
Traverse the memory by (char*) , because every time it will increase by 1byte when i want get the int value , i need convert(char*) to (int*) , after that , it will get the value from continuous...
C++搜索内存特征 支持模糊匹配
wtujoxk的博客
04-06 480
【代C++搜索内存特征 支持模糊匹配。
C++特征查找 附加案例
O8088的博客
11-05 4587
#include <stdio.h> #include <windows.h> #include <iostream> using namespace std; //参数分别为:进程句柄、特征、偏移、读取长度、开始扫描位地置、扫描结束位置 uintptr_t hanshu_dizhi; //记录特征对应的地址 uintptr_t ScanAddress(HANDLE process, char *markCode, int nOffset, unsigned lon.
8592-KMP算法.rar_数据结构_C/C++_
08-10
KMP算法详解及其C/C++实现》 KMP(Knuth-Morris-Pratt)算法,是由三位著名计算机科学家D.E.Knuth、J.H.Morris和V.R.Pratt共同提出的字符串匹配算法,它在处理字符串匹配问题时展现出了高效性。KMP算法的核心思想...
超级批量文本替换工具.rar_C/C++__C/C++_
08-09
文本搜索算法是批量替换的关键部分,它可以是简单的线性搜索,也可以是更高效的算法,如KMP(Knuth-Morris-Pratt)或Boyer-Moore。这些算法能够在大量文本中快速定位目标字符串,从而减少搜索时间。一旦找到目标文本...
C/C++常用算法手册(带详细书签目录)
06-28
这部分涵盖了图的基本概念,如邻接矩阵和邻接表,以及DFS(深度优先搜索)、BFS(广度优先搜索)等遍历算法。同时,还可能包括最小生成树(Prim算法或Kruskal算法)、最短路径问题(Dijkstra算法、Floyd-Warshall...
c++实现内存搜索源代(和CE差不多)
03-09
c++实现内存搜索源代(和CE差不多);c++实现内存搜索源代(和CE差不多);c++实现内存搜索源代(和CE差不多).
C++ 特征搜索支持问号搜索 开源
08-09
C++ 特征搜索支持问号搜索 开源
c++内存搜索学习
10-08
c++内存搜索学习,学习怎么根据数值搜索其在内存中的地址。
C++内存查找实例
12-26
本文实例讲述了C++内存查找的方法,分享给大家供大家参考。具体如下: windows程序设计中的内存查找功能,主程序代如下: 代如下:// MemRepair.cpp : 定义控制台应用程序的入口点。  //    #include “stdafx.h”  #include     BOOL FindFirst(DWORD dwValue);  BOOL FindNext(DWORD dwValue);  HANDLE g_hProcess;  DWORD g_arList[1024];  DWORD g_nListCnt;    BOOL
内存遍历工具
10-16
内存遍历工具
(C/C++/java)朴素的模式匹配(暴力法)算法 数据结构
09-04
在计算机科学领域,模式匹配是一项基础且重要的任务,特别是在文本处理和字符串搜索中。朴素的模式匹配算法,也称为暴力法,是最基本的解决方法。本文将深入探讨这个主题,并结合C、C++和Java三种编程语言的实现,来...
C/C++ KMP算法详解及源
希望我的博客,能帮上你解决学习中工作中所遇到的问题
05-09 7220
KMP算法是一种字符串匹配算法,用于在一个文本串中查找一个给定模式串的出现位置。KMP算法的核心思想是利用已匹配的部分字符信息来避免不必要的比较。
vc++指针查找内存特征(大牛们不要笑话我)
xianghao欢迎你的光临a
04-08 3501
 // 查找程序空白区域或者查找程序内存特征的假想// 查找程序空白区域或者查找程序内存特征的假想//#include "stdafx.h"#include using namespace std;int main(){ int k=13406; int i=2; int *p=0; int z; cout<<"k的地址:"<<&k<<"/t
C/C++算法实现:数论与图论算法详解
"这是一份详尽的算法与数据结构文档,涵盖了从基础的数论算法到复杂的图论算法,特别关注C和C++语言的实现。文档以逐步递进的方式组织,适合学习者逐步掌握算法知识。" 在计算机科学中,算法是解决问题的关键工具,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

微软技术分享

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值