c语言 内存搜索,API内存搜索引擎(C语言内嵌汇编)

最新推荐文章于 2023-07-17 10:58:35 发布
最新推荐文章于 2023-07-17 10:58:35 发布
阅读量259 收藏
点赞数
文章标签: c语言 内存搜索
这篇博客介绍了如何使用C语言内嵌汇编来实现API的搜索,包括计算字符串长度、CRC校验以及获取指定CRC值的函数地址。通过示例代码展示了获取Kernel32模块地址、LoadLibraryA函数CRC值以及动态获取其地址的过程。
摘要由CSDN通过智能技术生成

API内存搜索引擎(C语言内嵌汇编)

// apisearchEngine.cpp : Defines the entry point for the console application.

//

#include "stdafx.h"

#include

DWORD __stdcall GetStrLengthA(char* szName)

{

_asm

{

push edi

push ebx

mov eax, szName

mov edi, eax

mov ebx, eax

xor al, al

lstrscan:

scas byte ptr [edi] //字符扫描法检查字符串指针长度

jnz lstrscan

dec edi

sub edi, ebx

mov eax, edi

pop ebx

pop edi

}

}

DWORD __stdcall CalcBufferCRC(char* lpBuffer)

{

_asm

{

push ebx

push edi

push ecx

push ebp

mov ebx, lpBuffer

push ebx

call GetStrLengthA

mov edi, eax

shr edi, 2

xor ecx, ecx

loopBegin:

dec edi

jl loopOver

xor ecx, dword ptr [ebx]

add ebx, 4

jmp loopBegin

loopOver:

mov eax, ecx

pop ebp

pop ecx

pop edi

pop ebx

}

}

DWORD __stdcall GetProcAddressA(HANDLE hModule, DWORD dwExportCRC)

{

//DWORD lpProcNameCRC = ;

DWORD dwProcNumber;

LPVOID pProcAddress, pProcNameAddress, pProcIndexAddress;

_asm

{

push ebx

push esi

mov eax, hModule

mov edx,dwExportCRC // edx=函数名CRC32

mov ebx, eax // ebx=基址

mov eax, [ebx+0x3c] // eax=文件头偏移

mov esi, [ebx+eax+0x78] // esi=输出表偏移,文件头+可选头的长度=$78

lea esi, [ebx+esi+0x18] // esi=函数名数量 = 函数数量 [ebx+esi+$14]

lods dword ptr ds:[esi]

mov dwProcNumber, eax // eax=函数名数量

lods dword ptr ds:[esi]

mov pProcAddress, eax // eax=函数偏移量

lods dword ptr ds:[esi]

mov pProcNameAddress, eax // eax=函数名偏移量

lods dword ptr ds:[esi]

mov pProcIndexAddress, eax // eax=序列号偏移量

mov edx, dwProcNumber // edx=遍历次数

LoopBegin:

xor eax, eax // Result = 0

dec edx

jl LoopEnd

mov eax, pProcNameAddress

add eax, ebx // eax=函数名基地址

mov eax, dword ptr ds:[eax+edx*4]

add eax, ebx // eax=遍历函数名

push eax

call CalcBufferCRC

cmp eax, dwExportCRC // 对比CRC32

jnz LoopBegin

shl edx, 1

add edx, pProcIndexAddress // 函数基序列

movzx eax, word ptr ss:[edx+ebx]

shl eax, 2

add eax, pProcAddress // 函数基地址

mov eax, [eax+ebx]

add eax, ebx // Result = 函数地址

LoopEnd:

pop esi

pop ebx

}

}

DWORD __stdcall GetKernel32Module()

{

_asm

{

PUSHEBP

XOR ECX, ECX

//MOV ESI, [FS:ECX + 0x30] ; ESI = &(PEB) ([FS:0x30])

MOVESI, FS:[0X30]

MOV ESI, [ESI + 0x0C] ; ESI = PEB->Ldr

MOV ESI, [ESI + 0x1C] ; ESI = PEB->Ldr.InInitOrder

next_module:

MOV EBP, [ESI + 0x08] ; EBP = InInitOrder[X].base_address

MOV EDI, [ESI + 0x20] ; EBP = InInitOrder[X].module_name (unicode)

MOV ESI, [ESI] ; ESI = InInitOrder[X].flink (next module)

CMP [EDI + 12*2], CL ; modulename[12] == 0 ?

JNE next_module ; No: try next module.

MOVEAX, EBP

POPEBP

}

}

int main(int argc, char* argv[])

{

printf("write by xiaoju !\n");

printf("*****************\n");

DWORD dwBaseKernel32 = GetKernel32Module();

printf("Kernel32的模块地址:%08x\n",dwBaseKernel32);

DWORD LoadLibraryCRC32= CalcBufferCRC("LoadLibraryA") ;

printf("LoadLibraryA的CRC值(静态写到程序中):%08x\n\n", LoadLibraryCRC32);

DWORD dwAddrLoadLibrary = GetProcAddressA((HANDLE)dwBaseKernel32, 0x577a7461);

printf("在程序中动态得到的LoadLibraryA的地址:%08x\n", dwAddrLoadLibrary);

getchar();

return 0;

}

西瓜呆毛汪
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
c++实现内存搜索源代(和CE差不多)
03-09
c++实现内存搜索源代(和CE差不多);c++实现内存搜索源代(和CE差不多);c++实现内存搜索源代(和CE差不多).
c语言 内存搜索,C语言内嵌汇编API内存搜索引擎实例
weixin_35648264的博客
05-19 209
本文实例讲述了C语言内嵌汇编API内存搜索引擎的方法,分享给大家供大家参考。具体实现方法如下:// apisearchEngine.cpp : Defines the entry point for the console application.//#include "stdafx.h"#include DWORD __stdcall GetStrLengthA(char* szName){_a...
API内存搜索引擎C语言内嵌汇编
热门推荐
小驹的专栏
11-17 1万+
API内存搜索引擎C语言内嵌汇编) // apisearchEngine.cpp : Defines the entry point for the console application. // #include "stdafx.h" #include DWORD __stdcall GetStrLengthA(char* szName) { _asm { push edi
内存搜索函数 参考 C 语言库函数 strstr 函数
viphl的专栏
02-10 868
  // C标准库中文版 strstr 库函数实现 char *(strstr)(const char *s1, const char *s2) { /* find first occurrence of s2[] in s1[]*/ if(*s2 == '\0') { return ((char*)s1); } /* match rest ...
c语言 内存搜索,怎么在一段内存搜索一个十六进制串
weixin_28842367的博客
05-19 701
如何在一段内存搜索一个十六进制串?比如有长度为N,首地址为P的内存搜索其中的内容是否包含有“001122ff”这样的串?如何能高效搜索?谢谢------解决方案--------------------可以百度一下:KMP算法,BM算法。参考:http://www.cnblogs.com/whyandinside/archive/2012/06/03/2532651.html------解决方案...
C语言内嵌汇编API内存搜索引擎实例
09-04
1. C语言内嵌汇编:如何在C程序中插入汇编,以及如何使用汇编指令进行低级操作。 2. 汇编语言:`push`、`pop`、`mov`、`xor`、`scas`等基本汇编指令的用法。 3. 内存操作:直接操作内存地址,如计算字符串长度和...
C语言内嵌汇编编程
11-02
内嵌汇编编程是C语言与底层硬件交互的一种重要方式,允许程序员直接在C程序中嵌入汇编语言代,利用汇编语言直接操作硬件的灵活性,同时又保留了C语言的高级特性。混合编程具有以下几个知识点: 1. 内嵌汇编的优势...
C语言内嵌汇编
04-04
"C语言内嵌汇编" GCC Inline ASM 是 GCC 编译器支持在 C/C++ 代中嵌入汇编的功能,这些汇编被称作 GCC Inline ASM——GCC 内联汇编。这是一个非常有用的功能,有利于我们将一些 C/C++ 语法无法表达的指令...
read,open,write系统调用C语言内嵌汇编
07-17
read,open,write系统调用C语言内嵌汇编
C语言内存检索
代码解释生活
06-15 1719
DLL注入工具;黑客工具---xuetr.exe
C++ 进程内存搜索特征极速定位,方便找Call找地址!
04-29
C++ 进程内存搜索特征极速定位,方便找Call 找地址!!
内存搜索内存搜索工具)
05-21
内存搜索内存搜索内存搜索内存搜索内存搜索内存搜索内存搜索内存搜索
内存搜索
11-28 1173
我这段时间正好涉及到内存搜索问题,有几点感受说明一下: 一、要考虑语言的因素(如VB指针功能太弱,执行效率较低),建议采取C++或MASM32写比较代。 二、要考虑内存对齐情况,将被查找子串转换为4的倍数的数据(32位机),速度会大幅提升。 三、如果不考虑移植性,可采用MMX、SSE或SSE2指令进行优化,但AMD的CPU不支持。 四、尽量避免使用二次循环语句,速度将呈几级数增加。 在
Sunday算法实现内存快速搜索特征(支持带问号)
吾无法无天的博客
10-07 9290
效果图: 代: #include<Windows.h> #include<iostream> #include<vector> #include<time.h> using namespace std; #define BLOCKMAXSIZE 409600//每次读取内存的最大大小 BYTE* MemoryData;//每次将读取的...
c语言内存检索和动态库注入
Simple_Man_Just的博客
11-28 1509
【背景】学习c语言内存检索和动态库 内存检索:内存检索,顾名思义,对某段内存进行遍历搜索 动态库注入:动态库又称动态链接库英文为DLL,是Dynamic Link Library 的缩写形式,DLL是一个包含可由多个程序同时使用的代和数据的库,DLL不是可执行文件。动态链接提供了一种方法,使进程可以调用不属于其可执行代的函数。函数的可执行代位于一个 DLL 中,该 DLL 包含
API内存搜索引擎C语言内嵌汇编) .
坦然
08-10 1044
// apisearchEngine.cpp : Defines the entry point for the console application. // #include "stdafx.h" #include DWORD __stdcall GetStrLengthA(char* szName) { _asm { push edi push eb
c语言内存函数2
imhuxi的博客
04-17 129
判断str2是否在str1里,返回值为NULL或者str2在str1里的位置。str要可更改,str不为NULL时,函数找到str中第一个sep出现的位置,保存该位置。destination是目标地址,source是源字符串首地址,num为拷贝长度。用法和上面的memcpy一样,这个函数的源地址和目标地址可以重叠。该函数不关系目标地值和源地址的类型,只按照字节复制。当源字符串长度小于num时将在目标后追加0,直到加num个长度。将s指向的空间用n个c填充。s必须是可更改的,因为该函数会改变s的内容。
c语言搜索引擎程序,API内存搜索引擎C语言内嵌汇编
weixin_42510243的博客
05-20 292
API内存搜索引擎(C语言内嵌汇编)// apisearchEngine.cpp : Defines the entry point for the console application.//#include "stdafx.h"#include DWORD __stdcall GetStrLengthA(char* szName){_asm{push edipush ebxmov eax, ...
C语言库函数 — 内存函数(含模拟实现内存函数)
最新发布
小黄鸭的博客
07-17 566
内存操作函数是一类计算机程序设计中的函数库,旨在提供对内存进行常见操作的函数 本期介绍内存函数memcpy()、memmove()、memcmp()、memset() C语言模拟实现memcpy、memmove、memcmp、memset
在ARM V7下,使用C语言 内嵌汇编实现内存拷贝函数
02-22
我的建议是使用__asm__ __volatile__ 指令来实现内存拷贝函数,例如: __asm__ __volatile__ ( "mov r0, %0\n\t" "mov r1, %1\n\t" "mov r2, %2\n\t" "mov r3, #0\n\t" "1:\n\t" "ldrb r3, [r0], #1\n\t" ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值