c语言实现特征码定位内存,支持通配符

最新推荐文章于 2024-01-22 23:21:40 发布
最新推荐文章于 2024-01-22 23:21:40 发布
阅读量1.5k 收藏 4
点赞数
文章标签: c语言 开发语言 其他
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31738343/article/details/123012225
版权

文章目录

前言

特征码定位在很多情况下是非常方便的。如动态地址,游戏更新地址变动等

一、原理

特征码定位的原理,其实就是读程序内存,将读出的字节数组与欲寻找的字节数组做匹配。如果匹配成功,将得到的偏移加上读取首地址就得到指定特征码的地址了。

二、过程

1.获取进程句柄

读取内存之前,要获得具有 PROCESS_VM_READ 权限的进程句柄。用OpenProcess()实现。至于进程pid,方法不唯一,大家自取。我是通过取进程快照遍历对比进程名得到的。

/**
 * @brief Get the Pro Id object
 *
 * @param proName 进程名
 * @return DWORD 进程id
 */
DWORD getProIdByName(char *proName)
{
   

    PROCESSENTRY32 proInfo;
    proInfo.dwSize = sizeof(PROCESSENTRY32);
    //获取所有进程快照
    HANDLE hProSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
    if (hProSnap == INVALID_HANDLE_VALUE)
    {
   
        return -1;
    }
    Process32First(hProSnap, &proInfo);
    while (strcmp(proInfo.szExeFile, proName) != 0)
    {
   

        if (Process32Next(hProSnap, &proInfo) == 0)
            break;
    }
    //关闭快照句柄
    CloseHandle(hProSnap);

    if (strcmp(proInfo.szExeFile, proName)
最低0.47元/天 解锁文章
Matchman33
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
C++ 进程内存搜索特征极速定位,方便找Call找地址!
04-29
C++ 进程内存搜索特征极速定位,方便找Call 找地址!!
C++特征定位
woshilxq的专栏
10-28 8119
// BaseAddrTools.cpp : Defines the entry point for the DLL application. // #include #include #include BOOL GetProcessModuleHandle(DWORD PID,const char*szModuleName,MODULEENTRY32 *pModule);//获取模块信息
Sunday算法实现内存快速搜索特征支持带问号)
吾无法无天的博客
10-07 9111
效果图: 代: #include<Windows.h> #include<iostream> #include<vector> #include<time.h> using namespace std; #define BLOCKMAXSIZE 409600//每次读取内存的最大大小 BYTE* MemoryData;//每次将读取的...
特征定位
lengye7的博客
06-11 6777
标 题:详解定位特征方法附带源作 者:lisakeel时 间:2010-09-27 14:23:48 链 接:http://bbs.pediy.com/showthread.php?t=121198原来的ID(keellisa) 密丢了,现在无法找回了。下面的东西是非常基础的东西,给新手一个参考吧。        1、定位特征的原因          无论破解还是做其他与逆向相关的东西,可...
特征定位器】
PE_Hacker的博客
04-21 2366
初衷:研究漏洞,病毒分析; 很多.exe/.dll 被杀毒软件无情的杀掉; 但是我们却不知道为什么会被它们扼杀在摇篮里面; 怎么办?死可以死,但是想要知道怎么死的,那我们就用特征定位工具来找找看; 看是在内存的哪个位置,被杀掉的;利于后期分析; 使用:来看看是哪里被杀掉了; 一、准备工作 1.1:关闭杀毒软件,微软自带的也关掉; 1.2:准备一个被杀掉的exe或dll文件,来分析它; 二、制作/载入目标程序 2.1:打开特征定位工具,点击制作目标程序,会在同路径下生成一个加了”.new“后缀名的文件;
c语言特征搜索,[原创]一个速度不是很快但是逻辑很简单的内存特征搜索
weixin_42423349的博客
05-24 857
// ConsoleApplication8.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。// 很多头文件不需要,你自己看着用吧 我是复制我之前的#include "pch.h"#include #include #include #include #include #include #include #include #include #include #includ...
Sunday算法特征搜索极速定位基址和call地址C++(支持通配符
11-11
"Sunday算法特征搜索极速定位基址和call地址C++(支持通配符)"这一主题涉及了程序逆向工程中的关键技术,主要是利用特定的算法来搜索内存中的特征,以便快速找到代的执行起点或者关键功能点,如函数调用地址...
内存搜索超速(特征搜索模块,支持通配符)
06-20
语言模块,内存搜索超速,特征搜索模块,支持通配符内存模糊搜索x64,内存搜索极速还快十倍不止! 是内存搜索的最佳模块,没有之一! 经过测试搜索植物大战僵尸0-FFFFFFFF只需要1秒! 仅供学习交流,请勿...
汇编SunDay特征匹配(支持通配符)-易语言
06-12
在这个易语言实现中,SunDay特征匹配不仅支持固定模式的匹配,还引入了通配符的概念,增加了匹配的灵活性。 易语言是一种中国本土开发的高级编程语言,它以中文语句为编程基础,降低了编程的门槛,使得非专业...
C++ 特征搜索支持问号搜索 开源
08-09
1. 源代文件:展示如何使用C++实现特征搜索和问号通配符的功能。 2. 示例代或测试用例:演示如何使用该工具进行搜索。 3. 编译脚本或构建系统文件:帮助用户编译和构建项目。 4. 文档:解释工具的使用方法、...
语言KMP算法搜索定位内存特征
07-21
语言KMP算法搜索定位内存特征,KMP算法搜索定位内存特征,DecimalToHex,Hex2Bin,HextoDecimal,Kmp_Search,Kmp_SearchEX,VirtualQueryEx,ReadProcessMemory_Data,wvsprintf
C++ SSE2、Sunday算法,极速定位指定进程内存特征
wtujoxk的博客
10-01 379
【代】C++ sunday算法,极速定位指定进程内存特征
Windows 程序文件特征识别定位方法
最新发布
溡漪幽博客
01-22 1361
常见的文件特征识别定位是基于硬编指令定位、逻辑偏移量等方法,这种方法对于定位字符串等相对固定的数据非常友好。但是,对于编译程序中经常更新的组件,定位其中的指令代就会因为版本更新而需要同步更新定位方法。文本介绍一种基于控制流程和函数调用链导向的特征匹配定位方法,同时也从个人有限的角度去分析如何更好地选择特征特征是一串二进制字符串,可以用来定位数据、判断字段、识别病毒等。特征通常是从文件或汇编代中提取。特征可以被杀毒软件用来扫描病毒,也可以被病毒用来修改或掩实现免杀。
C/C++ 内存遍历与KMP特征搜索
热门推荐
CSDN
06-08 1万+
KMP(Knuth-Morris-Pratt)算法是一种字符串匹配算法,用于在一个文本串中查找一个模式串的出现位置。它利用了模式串自身的特性,避免了不必要的回溯操作,从而提高了匹配效率。KMP算法的核心思想是利用模式串中已经匹配过的信息,避免在文本串中进行无效的比较。它通过预处理模式串,构建一个部分匹配表(也称为next数组),用于指导匹配过程。部分匹配表记录了模式串中每个位置之前的最长公共前缀和后缀的长度。
C/C++ 实现PE文件特征识别
CSDN
09-14 7689
PE文件就是我们常说的EXE可执行文件,针对文件特征的识别可以清晰的知道该程序是使用何种编程语言实现的,前提是要有特征库,PE特征识别有多种形式,第一种是静态识别,此方法就是只针对磁盘中文件的特征字段进行检测来判断编译器版本,此种方式优点是快,缺点是识别不准确,第二种则是动态识别,当程序被装入内存后在尝试对其进行识别,此方法最为准确,我们经常使用的PEID查壳工具是基于静态检测的方法。读取映射中的内存并返回一个句柄,后面的程序就可以通过该句柄操作打开后的文件了.函数创建文件的内存映像,最后使用。
打造不被查杀的黑器—特征的自动定位与通用修改方法
10-27 5109
一、 序   杀毒软件检测木马,后门等黑器时,最传统也是最有效的方法之一是特征比较。越是名气大的黑器越是被追杀的体无完肤。有时候好不易突破了对方防火墙的堵截,想传个心爱的后门过去,可立足未稳就已经被对方的杀毒软件枪毙了。当然,各种加壳软件能在一定程度上减小后门被发现的可能性,但现在杀毒软件自动脱壳的功能越来越强,给文件加壳终究是一种治标不治本的方法。因此,最好还是能从程序本身入手,将特征找出来
C++实现仿CE工具-快速内存搜索-内存特征定位快速实现-代很精妙
追逐光芒,追随内心
07-10 3301
第一步 进行内存属性过滤,第二步 就是拷贝内存到自身进程进行for循环遍历,这样速度不快才怪!搜索内存底层没用API函数,直接是纯汇编了。
病毒特征定位原理和首次使用MyCCL
bcbobo21cn的专栏
09-02 8473
一 什么是病毒特征 特征就是从病毒体内不同位置提取的一系列字节,杀毒软件就是通过这些字节及位置信息来检验某个文件是否病毒。每个杀毒软件公司都有自己的特征提取方法和提取工具,这也是特别需要技术的地方,弄不好就造成误判,将好文件当成病毒给杀了。杀毒软件公司在提取特征后,一般都需要经过较严格的测试和比对,当然也有时间紧迫,来不及充分测试就匆匆升级病毒库(也就是特征库)的情况,前不久的
c语言实现模糊查询字符串
07-28
你可以使用C语言的字符串处理函数来实现模糊查询字符串。下面是一个简单的示例代: ```c #include <stdio.h> #include <string.h> int fuzzyMatch(const char* str1, const char* str2) { int len1 = strlen(str1); int len2 = strlen(str2); int i, j = 0; for (i = 0; i < len1; i++) { if (str1[i] == str2[j]) { j++; if (j == len2) { return 1; // 匹配成功 } } } return 0; // 匹配失败 } int main() { const char* str1 = "apple"; const char* str2 = "ple"; if (fuzzyMatch(str1, str2)) { printf("'%s' 包含 '%s'\n", str1, str2); } else { printf("'%s' 不包含 '%s'\n", str1, str2); } return 0; } ``` 在这个例子中,`fuzzyMatch` 函数接受两个字符串作为参数,并使用一个简单的循环来比较它们的字符。如果第二个字符串是第一个字符串的子序列,那么返回1表示匹配成功,否则返回0表示匹配失败。 你可以根据需要修改这个示例代,以满足你具体的模糊查询需求。例如,你可以将模糊匹配的规则修改为忽略大小写,或者支持通配符等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值