X64下指定进程内存搜索

最新推荐文章于 2024-03-31 09:57:53 发布
最新推荐文章于 2024-03-31 09:57:53 发布
阅读量383 收藏 2
点赞数 1
分类专栏: C++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq515110385/article/details/89973363
版权 
#define _CRT_SECURE_NO_WARNINGS
#pragma warning(disable:4996)
#include <stdio.h>
#include <windows.h>
#include <string>
#pragma region FindSig
#include <vector>
#include <Psapi.h>
#include <iostream>
#include <tchar.h>
#include <tlhelp32.h>
unsigned char code[12];
unsigned char oldcode[12];
FARPROC addr;
DWORD pid;
using namespace std;



bool FHexCharValid(char c)
{
	if (c >= '0' && c <= '9' ||
		c >= 'A' && c <= 'F' ||
		c >= 'a' && c <= 'f' ||
		c == '?')
		return true;
	else
		return false;
}
bool FHexDecoder(char* Dec, char* Src)
{
	char HighC, LowC;
	DWORD dwSrcLen = strlen(Src) / 2;
	int i;
	for (i = 0; i < dwSrcLen; i++) {
		HighC = Src[i * 2], LowC = Src[i * 2 + 1];
		if (!FHexCharValid(LowC) || !FHexCharValid(HighC))
			return false;
		HighC -= '0';
		if (HighC > 9) HighC -= 7;
		if (HighC > 0xf) HighC -= 0x20;
		LowC -= '0';
		if (LowC > 9) LowC -= 7;
		if (LowC > 0xf) LowC -= 0x20;
		Dec[i] = (HighC << 4) | LowC;
	}
	return true;
}
bool __SundayHexInit__(char* Sub, DWORD*p, char* HexSub, unsigned long dwSubLen)
{
	if (!FHexDecoder(HexSub, Sub)) {
		return false;
	}
	DWORD i;

	for (i = 0; i < 0x100; i++) {
		p[i] = -1;
	}

	int WildAddr = 0;
	for (i = 0; i < dwSubLen; i++) {
		if (Sub[i * 2] == '?')
			WildAddr = i;
	}

	for (i = WildAddr + 1; i < dwSubLen; i++) {                     //扫描Sub,初始化 P 表
		p[(BYTE)HexSub[i]] = dwSubLen - i;
	}

	for (i = 0; i < 0x100; i++) {
		if (p[i] == -1)
			p[i] = dwSubLen - WildAddr;
	}
	return true;
}
int __SundayHex__(char* Src, unsigned long dwSrcLen, char* Sub, DWORD* p, char* HexSub, DWORD dwSubLen)
{
	//开始配对字符串
	//j为 Sub位置指标, k为 当前匹配位置
	DWORD j, k;
	j = dwSubLen - 1;                                   //初始化位置为 dwSubLen - 1,匹配顺序为从右到左

	bool bContinue = true;
	bool bSuccess;
	while (bContinue) {
		bSuccess = true;
		for (k = 0; k < dwSubLen; k++) {
			if (Sub[(dwSubLen - k - 1) * 2] != '?' && Src[j - k] != HexSub[dwSubLen - k - 1]) {
				bSuccess = false;
				break;
			}
		}
		if (bSuccess)
			bContinue = false;
		else {                                          //移动j指针
			if (j < dwSrcLen - 1)                                                        //防止j+1 >= dwSrcLen造成溢出
				j += p[(BYTE)Src[j + 1]];
			else j++;
		}
		if (j >= dwSrcLen)
			break;
	}
	if (j < dwSrcLen)
		return j - dwSubLen + 1;
	else
		return -1;
}
int __SundayHexV__(char* Src, unsigned long dwSrcLen, char* Sub, DWORD* p, char* HexSub, DWORD dwSubLen, int v)
{
	//开始配对字符串
	//j为 Sub位置指标, k为 当前匹配位置
	DWORD j, k;
	j = dwSubLen - 1 + v;                                   //初始化位置为 dwSubLen - 1,匹配顺序为从右到左

	bool bContinue = true;
	bool bSuccess;
	while (bContinue) {
		bSuccess = true;
		for (k = 0; k < dwSubLen; k++) {
			if (Sub[(dwSubLen - k - 1) * 2] != '?' && Src[j - k] != HexSub[dwSubLen - k - 1]) {
				bSuccess = false;
				break;
			}
		}
		if (bSuccess)
			bContinue = false;
		else {                                          //移动j指针
			if (j < dwSrcLen - 1)                                                        //防止j+1 >= dwSrcLen造成溢出
				j += p[(BYTE)Src[j + 1]];
			else j++;
		}
		if (j >= dwSrcLen)
			break;
	}
	if (j < dwSrcLen)
		return j - dwSubLen + 1;
	else
		return -1;

}
int SundayHex(char* Src, unsigned long dwSrcLen, char* Sub)
{
	DWORD dwSubLen = strlen(Sub);
	if (dwSubLen % 2)                    //长度必须为2的倍数
		return -1;
	dwSubLen /= 2;

	char* HexSub = new char[dwSubLen + 1];
	DWORD* p = new DWORD[0x100];        //table P,标志距离
	int i = -1;

	if (__SundayHexInit__(Sub, p, HexSub, dwSubLen)) {


		i = __SundayHex__(Src, dwSrcLen, Sub, p, HexSub, dwSubLen);
	}

	delete[]p;
	delete[]HexSub;
	return i;
}
vector< int> SundayHexV(char* Src, unsigned long dwSrcLen, char* Sub)
{
	vector< int> v;
	DWORD dwSubLen = strlen(Sub);

	if (dwSubLen % 2)                    //长度必须为2的倍数
		return v;
	dwSubLen /= 2;

	char* HexSub = new char[dwSubLen + 1];
	DWORD* p = new DWORD[0x100];        //table P,标志距离
	int i = -1;



	if (__SundayHexInit__(Sub, p, HexSub, dwSubLen)) {

		i = __SundayHexV__(Src, dwSrcLen, Sub, p, HexSub, dwSubLen, 0);

		while (i != -1)
		{
			v.push_back(i);
			i = __SundayHexV__(Src, dwSrcLen, Sub, p, HexSub, dwSubLen, i + dwSubLen);

		}

	}

	delete[]p;
	delete[]HexSub;
	return v;

}

int Getpid(const char *name)
{
	char szProcessName[MAX_PATH];
	char *pName;
	PROCESSENTRY32 pe = { sizeof(PROCESSENTRY32) };
	printf("进程快照\n");
	HANDLE hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
	Process32First(hSnapshot, &pe);
	printf("Pid=%d    进程名:%s\n", pe.th32ProcessID, pe.szExeFile);
	while (Process32Next(hSnapshot, &pe))
	{
		pName = strrchr(pe.szExeFile, '\\');
		if (pName != 0)
		{
			strcpy(szProcessName, pName + 1);
			if (!strcmp(szProcessName, name))
				return pe.th32ProcessID;

		}
		else
		{
			if (!strcmp(pe.szExeFile, name))
				return pe.th32ProcessID;
		}
	}
	CloseHandle(hSnapshot);
	return 0;
}

DWORD64 __stdcall FindSig(const char* Value)
{
	vector <DWORD> 保存数组;
	DWORD64 区段大小 = 0;
	ULONG64 Start = 0, End = 0x7fffffffffffffff;
	//if (dwPid == 0) return 保存数组;
	MEMORY_BASIC_INFORMATION 内存信息 = { 0 };

	

	HANDLE hFake1 =  OpenProcess(PROCESS_ALL_ACCESS, false, Getpid("my.exe"));//通过取pid取handle 
	
	if (hFake1 != NULL)
	{
		
		while (VirtualQueryEx(hFake1, (LPCVOID)Start, &内存信息, sizeof(内存信息)))
		{
			//cout << 内存信息.BaseAddress << endl;
			if (内存信息.Protect != 1 && 内存信息.Protect != 16 && 内存信息.RegionSize != 1 && 内存信息.Protect != 512)
			{

				区段大小 = (DWORD64)内存信息.BaseAddress + 内存信息.RegionSize - Start;
				//char tmpchar[255];
				//sprintf_s(tmpchar, "0x%I64x", 区段大小);
				//MessageBoxA(NULL, tmpchar, "Size", MB_OK);
				char* buf = new char[区段大小 + 1];
				if (ReadProcessMemory(hFake1, (LPCVOID)Start, buf, 区段大小, NULL))
				{

					vector<int>  dwValue = SundayHexV(buf, 区段大小, (char*)Value);
					for (size_t i = 0; i < dwValue.size(); i++)
					{
						//保存数组.push_back(Start + dwValue[i]);
						char tmpchar[255];
						sprintf_s(tmpchar, "0x%I64x", Start + dwValue[i]);
						MessageBoxA(NULL, tmpchar, "Result", MB_OK);
						return Start + dwValue[i];
						
					}
					//delete(buf);
				}
				//delete(buf);
			}
			if (End == 0) {
				break;
			}

			Start += 内存信息.RegionSize;
			if (Start > End)
				break;
		}
		//CloseHandle(hProcess);
	}

	return 0;
}



int main()
{
	FindSig("4533C944894C2420458BCF452BCC488BCF498BD5458BC4");  //特征码 
	//4533C944894C2420458BCC452BCD488BCB498BD7458BC5  
}

通过搜集代码集合而成,觉得好用

qq515110385
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
内存搜索工具啊 -- - - - - - - 易语言之CE源码
04-25
内存搜索工具 模仿CE工具的可以迎来查找基址 功能和CE差不多 但是这只是源码 我倡导自己动手 所以 希望大家都去学习下 而不是等着用
内存读写支持库开源 x64进程特征码搜索及完善的内存读写-易语言
06-13
应该是不再更新了 老说着火绒报毒啥的 直接开源自己看着用就好 哪个驱动报毒自己把它删掉就好 写支持库的初衷是整合了下资源便于自己可以方便点 在不同系统下都可以对游戏进行内存读写
易语言X64进程内存搜索技术
热门推荐
hzw320的博客
08-18 1万+
上一篇我们讲解了32位程序进程内存搜索方法:http://bbs.dult.cn/thread-10411-1-1.html 本节呢,来讲解下64位程序进程内存搜索, 因为不少学员跟我们工作客服反映,现在有不少新出的游戏都是64位程序了,而且对CE非常不友好, 检测CE导致搜索内存地址,分析数据信息困难,建议我在Game-EC 驱动模块 8.5.2 版本开发64位进程内存搜索功能。 所以...
探索x64_AOB_Search:高效内存搜索工具的技术解析与应用
最新发布
gitblog_00001的博客
03-31 490
探索x64_AOB_Search:高效内存搜索工具的技术解析与应用 项目地址:https://gitcode.com/wanttobeno/x64_AOB_Search 项目简介 x64_AOB_Search 是一款针对x64架构的十六进制字符串(AOB, Address Of Bytes)搜索工具。它主要用于游戏修改、调试器辅助和逆向工程等领域,帮助开发者快速定位内存中的特定数据模式。 技术分析...
内存搜索64/32(支持通配符、CE级模糊搜索)-易语言
06-13
这次主要是还原CE写法 改进了64搜索框架 支持和CE一样的模糊搜索 也可以 用绝对 属性值来搜索 至于这个 64位函数调用 我还是没把握支持全系统 有兴趣的自己研究吧
C++x64内核保护进程源码_保护进程_x64内核保护进程_进程保护_进程保护c++
08-09
- **内存保护**:设置进程内存区域的访问权限,防止其他进程读取、写入或执行。 - **钩子检测**:检查当前进程是否存在可疑的钩子函数,以防止恶意注入。 - **异常处理**:设置异常处理机制,当检测到非法操作时...
gflags x86 x64 堆栈溢出内存检测工具
03-20
《gflags:x86与x64架构下的堆栈溢出内存检测工具详解》 在软件开发过程中,确保程序的稳定性和安全性至关重要。而堆栈溢出是导致程序崩溃和安全漏洞的常见原因之一。为了有效地检测和预防这类问题,开发者可以使用...
9x下进程管理.zip易语言项目例子源码下载
03-21
《9x下进程管理——易语言项目源码解析》 在计算机编程领域,掌握进程管理是至关重要的。本文将深入探讨“9x下进程管理”的易语言项目源码,为初学者提供一个宝贵的学习资源。易语言,作为一款国内自主研发的编程...
准确在64位系统下枚举进程模块
04-08
在64位操作系统环境下,对进程模块进行枚举是一项重要的系统编程任务,尤其在系统监控、安全分析和软件调试等领域。本节将详细介绍如何在64位系统中,包括32位和64位进程,使用Windows Management Instrumentation...
使用x64dbg调试dll程序
06-25
2. **配置命令行参数**:在x64dbg中,我们需要设置rundll32.exe的命令行参数,指定要执行的DLL文件名及相应的导出函数名和参数。例如,rundll32.exe Lab01-01.dll, FunctionName Arg1 Arg2。 3. **设置DLL断点**:...
C++ 进程内存搜索,特征码极速定位,方便找Call找地址!
04-29
C++ 进程内存搜索,特征码极速定位,方便找Call 找地址!!
X64驱动读写内存源码
11-20
X64驱动读写内存源码,驱动基于VS2019编写,只支持64位,驱动未签名需要自行开启测试模式加载,R3层基于易语言编写无模块 编译即可用,所有源码都在压缩包里自行下载即可
内存搜索超速(特征码搜索模块,支持通配符)
06-20
易语言模块,内存搜索超速,特征码搜索模块,支持通配符 比内存模糊搜索x64内存搜索极速还快十倍不止! 是内存搜索的最佳模块,没有之一! 经过测试搜索植物大战僵尸0-FFFFFFFF只需要1秒! 仅供学习交流,请勿用于非法用途!
内存搜索代码 易语言内存搜索源码
08-20
windows下的内存搜索源码,可搜索字符串、float、double、byte类型
易语言搜索定位内存特征码源码
06-01
易语言搜索定位内存特征码源码。Sunday算法是Daniel M.Sunday于1990年提出的字符串模式匹配。其核心思想是:在匹配过程中,模式串发现不匹配时,算法能跳过尽可能多的字符以进行下一步的匹配,从而提高了匹配效率。注意:测试代码为查找易语言e.exe模块加载call需要的地址(EP助手里面扣出来的演示代码)。模块加载call调用(在开发插件的小伙伴可以直接使用)。@易语言学习论坛-ybhacker。
字符串2·(替换,索引,遍历,统计,查找)
楼下小白
04-19 710
字符串替换(也可用于删除) name.replace(old, new, count) 把字符串中的子字符串转换成新的,转换的数目由count决 定, count默认为1,返回转换后的新字符串,但注意原字符串没有发生改变。 b=a.replace(' ',"") #使用replace替换掉所有空格replace(old,new) pprint.pprint(b) 结果: 'xia...
易语言x64位特征码搜索技术(可搜索内存范围0-7FFFFFFFFFFFFFFF)
hzw320的博客
10-22 7828
新模块里面我开发加入了对x64游戏操作的很多功能。 今天我来讲解下其中一个方面的功能,就是特征码搜索方面的, 目前已经发布的模块版本中虽然有特征码搜索的命令,但仅限于32位的程序使用, 所以对64位游戏进行特征码定位搜索也是需要一个这样的功能的, 因为很多写64位游戏的用户需要更新辅助里各种基址, 就会需要用到特征码来快速更新辅助所需的基址信息,所以这个功能也是尤为重要的。 为了方便使用我们Game-EC 驱动模块的人, 快速找到自己需要的命令名称,所以凡事对x64程序操作的命令名称我在模块里命令都以: x
逆向学习X64DBG
weixin_43910988的博客
04-28 1934
然后点击确定,我们可以看到有四个地址。这里边其中有一个就是我们要找的,所以我们可以选择都试一试,然后总可以试出来哪个地址是真实保存的名称。使用X64dbg可以快速搜索游戏人名,所以本次逆向使用该工具进行工作。现在我们想改成:源氏物语。,然后我们使用右键->二进制->编辑。我们可以看到 源氏物语 在内存里边已经改好了。输入中文,然后改成源氏物语。附加后,选择shadowFlare。目的:更改玩家名称(中文名称)右键, 点击 "查找特征码"然后搜索 “平家物语”原来的名字:平家物语。使用方法:双击一个地址。
x64 驱动测试用户是否共享内核空间 和内核模块遍历
weixin_41725706的博客
11-06 179
windows10 x64 内核是否共享和内核模块遍历
易语言x64特征码搜索模块
07-23
### 回答1: 易语言是一种基于Windows平台的编程语言,x64特征码搜索模块是它的一个特性。x64特征码搜索模块是为了在Windows x64 64位操作系统上进行特征码搜索而设计的工具。 特征码是指在程序或者数据中能够唯一标识某一功能或者特征的一段二进制代码。在软件开发过程中,开发者常常需要对某些特定的功能或者特征进行定位和修改。在x64操作系统中,由于64位的寻址空间和指令集的不同,传统的特征码搜索方法无法直接使用。因此,易语言提供了x64特征码搜索模块来支持对64位操作系统的特征码搜索x64特征码搜索模块能够根据开发者提供的特征码,快速的在指定进程中进行搜索,找到匹配的特征码位置。这个功能对于软件逆向工程和游戏修改等领域非常有用。开发者可以使用易语言编写特定的算法和逻辑来处理搜索到的特征码,实现各种功能的修改和增加。 通过x64特征码搜索模块,易语言提供了对64位操作系统的特征码搜索的支持,为开发者在64位操作系统上进行特征码搜索提供了便利。它的使用也是易语言在不断更新和提升的过程中,为了适应新的技术和发展而推出的新功能。 ### 回答2: 易语言x64特征码搜索模块是一种提供给易语言程序开发者使用的功能模块,用于在64位操作系统上进行特征码的搜索和匹配。特征码是一种用来识别特定功能或行为的代码片段,可以用于进行软件逆向工程、游戏修改等应用。 该模块基于x64架构开发,因此能够满足64位操作系统的要求,并且具有较强的搜索和匹配能力。在使用该模块时,开发者可以指定一个特定的特征码,然后模块会在指定进程内存空间中搜索匹配该特征码的位置和值。 该模块的主要特点有: 1. 支持常见的特征码格式,如字符串、字节序列、函数标识等。开发者可以根据具体需求选择合适的特征码类型。 2. 提供多种搜索算法,包括精确搜索、模糊搜索等,方便快速地找到特征码匹配的位置。 3. 支持内存读写操作,可以在搜索到特征码匹配位置后,读取或修改该位置的值。 4. 提供丰富的API接口和函数,开发者可以根据需要进行二次开发和定制,实现更复杂的功能。 易语言x64特征码搜索模块的出现,极大地方便了开发者在64位操作系统上进行特征码搜索和匹配的工作。无论是对于游戏修改、软件逆向工程还是其他领域的开发,都能提供强大的支持和便捷的操作。开发者可以在易语言平台上直接调用该模块,简化开发流程,提高工作效率。 ### 回答3: 易语言是一种简单易学的编程语言,其特征码搜索模块主要用于在指定的二进制数据中搜索特定的特征码。 特征码是指二进制数据中具有唯一标识或特定含义的字节序列。在软件开发中,我们常常需要对某些特定的二进制数据进行分析和处理,此时就可以使用特征码搜索模块来实现。 在易语言x64特征码搜索模块中,我们可以首先选择要搜索的二进制数据文件或内存区域。然后,可以输入要搜索的特征码,特征码可以是字符串或十六进制表示的字节序列。 搜索过程中,特征码搜索模块会逐一扫描二进制数据,并与输入的特征码进行比对。如果找到匹配的特征码,就会给出相应的提示或结果。同时,该模块还可以提供一些额外的功能,比如搜索时的增量偏移和范围限制等。 易语言x64特征码搜索模块具有以下特点:第一,易于使用,无需编写复杂的代码,只需简单设置参数即可实现特征码的搜索。第二,搜索速度较快,可以高效地处理大量的二进制数据。第三,支持对搜索结果进行进一步的分析和处理,例如导出结果或修改数据值等。 总之,易语言x64特征码搜索模块是一种方便实用的功能,可以帮助开发者在软件开发和逆向工程中有效地分析和处理特定的二进制数据。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值