字符串查找_Dump进程内存镜像并查找字符串工具的举例应用

最新推荐文章于 2022-10-28 20:50:51 发布
最新推荐文章于 2022-10-28 20:50:51 发布
阅读量548 收藏
点赞数 1
文章标签: 字符串查找
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_28788593/article/details/112613798
版权

今天是母亲节,我祝全天下的母亲们幸福安康!!!

《Dump进程内存镜像并查找字符串工具》一文引发了众多“号”友(公众号)的留言,给予了很高的评价,我非常开心,感谢你们的热情支持!

应广大号友的要求,我今天来介绍个“获取密码框中密码”的例子,这也是我开发这个工具软件的初衷原因;通过这个场景,希望你能举一反三,开拓出它的更多的用法。没看过此文(《Dump进程内存镜像并查找字符串工具》)的,请往前翻。

一、设计初衷

在一些程序的密码框中密码,我们怎么获取?

957dbb9104525d4da524d1f28cdc707e.png

通常用“星号查看工具”来查看密码框中的密码,如下图:

4af00a135045e30f07f0594756c796a3.png

    从图中可以看到这个密码框中的密码是“123456”,圆满轻松地获取到了密码;但也有失灵的时候......

fb08d74e11e98138c3feef744c778f4d.png

    从上图看到,“星号查看工具”没有获取到正确的密码,只是随便给出了窗口的标题,这种情况下应该怎么获取到呢?

    下面,轮到这个工具大发神威......

     二、ProcessDump工具的使用

    首先,我们在上图的登陆密码框中的密码的后面加上“iloveyou”这样的带特征性质的字符串(可以是你定义的任何特征串),

a528568f5b8dad53e023920f134b1510.png

    其次,运行程序获取这个登陆程序的进程PID,

88f749b61ade09bf1cc0e4c6b928751e.png

    第三,进程PID是10784,用“Dump进程内存镜像”获取此登陆程序的内存镜像,

c822a57d3ad9b62801caf1e69d74353f.png

3bcb07340cfa9398177a21fed9beb3c2.png

85cff479fdaffbaebaf9843b996fc89f.png

    出现此提示时意味着已成功将此进程的内存镜像写到以进程PID命名的文件10784.dmp中;

ba11456b3c3966f012e16704ae8fdd38.png

    第四,在“查找内容”处输入我们设定的特征串“iloveyou”,因为是字符串,所以就找字符串;如果是16进制,就要勾选16进制格式及填写方式;按“多线程查找”在“10784.dmp”镜像中进行查找;

ae3f8271eb15e8b0c6cae83b55b2817f.png

    第五,结果出来了,找到了6处,我们要一一查看,以确定哪一处是密码;

53397c4308def4087ad25f2f6ad0857a.png

    这是选用“010editor”工具找开“10784.dmp”文件,查找出现字符特征串的地方,

d4f2e5e51f9f60c936e38cc39cbca7b5.png

    最后,如图发现了password字样,后面跟着“123456iloveyou”,所以除去特征串,我们知道这个登陆程序的原始密码为“123456”;

    通过这种方法,我们获取到了“星号查看工具”没办法获取到的密码!

     至此,这个运用实例虽然讲完了,但值得仔细回味,这个实例具有很强的普遍性、实用性价值,在我们的实战中有很多地方会遇到密码框密码的场景,我们开创性地拓展了获取密码的方式,技巧性很强,实战价值很高;

    还有些其他的技战法,我们还在挖掘整理中。

    这个工具不提供免费使用,如果你需要它,请找我商谈。

122481271c460f3988b21f34cfcda71a.png

地精工效学者
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
逆向分析-010editor算法
简单起个名字的博客
10-22 844
系统环境:win10 64位 工具:吾爱专用OD、IDA 分析目标 1.暴力破解,去注册弹窗 2.分析算法,写注册机 3.去网络验证 具体分析过程 2.1 过弹窗检测 输入伪码 Username:123456 Password:11223344556677889900 弹窗了。由于我自己之前分析过适合破解新手的160个crackme练手.chm的前三个程序并且也写出了注册机。 我自己在吾爱也发了贴,ID:赤坂理子 所以这里有两个思路,一个是下API断点,和字符串搜索。 下API断点首先要使用工
逆向分析-010Editor
Nattevak
12-02 8047
一、需实现的功能 二、分析思路 Vs2013 -> 12.0
010Editor相关
MIkuti的博客
12-07 1620
1.样本概况 1.1 应用程序信息 应用程序名称:010Editor801.exe MD5值:0A34A58D5314C83273710B57F3CB8B53 SHA1值:849ED2027B4F40BF5BF85A638E54D15C05C87E29 1.2 分析环境及工具 系统环境: 十五派信息安全教育实验环境win7专业版 32位 工具: Ollydbg(动态调试代码)、 IDA Pro(静态调试代码)、 LordPE/PEID/Exeinfo PE(PE工具、查壳、查编译环境)、 Vistual S
010Editor逆向分析
ZK_1874的博客
10-28 1719
010Editor逆向分析
最新版010editor逆向分析
crowsec
01-04 1620
最新版010editor逆向分析
PHP学习之输出字符串(echo,print,printf,print_r和var_dump)
12-19
总结来说,echo 和 print 主要用于简单的字符串输出,printf 和 sprintf 则用于格式化输出,而print_r 和 var_dump 则用于调试和检查变量。根据具体需求,开发者可以选择最适合的输出方法。了解这些函数的用法对于...
PHP针对字符串开头和结尾的判断方法
12-19
- `mb_strpos`: 多字节字符串中的位置查找,适用于处理UTF-8等多字节编码的字符串。 - `mb_strlen`: 计算多字节字符串的长度。 - `mb_substr`: 获取多字节字符串的子串。 在实际编程中,根据需求选择合适的方法进行...
php判断字符以及字符串的包含方法属性
12-18
`strstr()` 用于在字符串查找指定字符或子字符串首次出现的位置,并返回从该字符到字符串结尾的部分。如果未找到匹配项,则返回 `FALSE`。在提供的示例中: ```php $email = 'user@example.com'; $domain = ...
PHP正则匹配到2个字符串之间的内容方法
12-19
以上这篇PHP正则匹配到2个字符串之间的内容方法就是小编分享给大家的全部内容了,希望能给大家一个参考,也希望大家多多支持软件开发网。 您可能感兴趣的文章:php 正则去掉 </p> 空格 与<p><br></p>php正则表达式...
PHP简单判断字符串是否包含另一个字符串的方法
12-18
而`stristr()`函数则是不区分大小写地查找字符串,如果找到则返回子字符串的首次出现,找不到则返回`FALSE`。 然而,当子字符串位于主字符串的开头时,`strpos()`可能会出现问题。因为如果子字符串是主字符串的第...
在一个进程内存查找特定值字符串
04-01
在一个进程内存查找特定值字符串等 procedure ShowArrayTValueAddress(); //显示当前任务查出的地址列表 procedure ShowMemEditAddressList(); //显示当前的修改列表 procedure OnWMHOOKPROC(var Msg: TMessage);message WM_HOOKPROC; //Hook Message 处理挂钩消息 procedure AddAMission(ProcessesID : Handle;MissionName:string); //增加任务
内存搜索工具一个很好用的内存搜索工具
04-07
一个很好用的内存搜索工具一个很好用的内存搜索工具
易语言内存搜索工具源码
01-30
DNF易语言内存搜索工具源码
内存查找工具
08-19
内存查找工具, 懂得不用多说了, 游戏破解常用.
十六进制编辑器 010 Editor
热门推荐
freeking101的博客
10-17 5万+
010editor是一款十六进制编辑器,和 winhex 相比支持更灵活的脚本语法,可以对文件、内存、磁盘进行操作,是二进制分析中十分强力的工具,能够解析多种文件格式并以友好的界面呈现。其强大的内部引擎使得任何人都可以定制所需的解析脚本或解析模板。
010Editor分析
weixin_44279850的博客
01-01 7180
1 样本概况 1.1 样本信息 安装软件名称:010EditorWin32Installer801.exe 大小: 14948584 bytes 文件版本: v 8.0.1 修改时间: 2018年10月3日, 13:35:03 MD5: A45C23B3939637A1E8ADD8C3C1833C8E SHA1: 6A31C87C52BDF2B28118E7FE2D50D8A333ACD1A...
Linux下获取java应用的Dump文件
赱乂的博客
01-16 1万+
1、获取应用的pid 使用ps -ef | grep java查询服务器上的java应用进程信息,找到应用进程及id 2、使用jmap获取dump信息 jmap -dump:format=b,file=/home/app/dump.out 17740 注:/home/app/dump.out表示生成的dump文件的存放地址及文件名,17740表示1中查询到的应用pid 3、分析dump文件 可使用...
C++模仿CE工具快速内存搜索——(Sunday算法)
追逐光芒,追随内心
10-03 2174
2、跨进程读取内存:ReadProcessMemory。1、查看内存块信息:VirtualQueryEx。可以看出Cheat Engine内存搜索的核心逻辑是。3、通过“字符串模式匹配算法”进行比较定位。
写了一个内存地址特征码搜索工具
flashrhx
04-26 1996
实现了 1.搜索汇编上的地址 2.搜索匹配特征的内存地址 3.搜索到的地址再做+法计算,还没做读取内存指针,是直接16进制加法 4.支持通配符(就是用正则表达式来做的) 现在还不是很完善,因为一边学一边做,总觉得欠缺了啥,一些地方还得优化,先上图,过几天放源码 搜索界面: 搜索结果图:搜索运用了线程同时处理,用时单位是毫秒 生成规则界面:
使用perl语言,打开当前文件夹下的test.sim_command文件,搜索VPD_DUMP,并在VPD_DUMP字符的下一行,插入testtest字符串
最新发布
06-26
可以使用Perl的文件操作函数来打开文件、查找字符串、并在相应位置插入新字符串。以下是一个示例代码: ``` #!/usr/bin/perl use strict; use warnings; my $filename = "test.sim_command"; my $search_str = "VPD_DUMP"; # 打开文件 open(my $fh, "<", $filename) or die "无法打开文件 $filename: $!"; # 读取文件内容 my @lines = <$fh>; # 关闭文件 close($fh); # 查找字符串并在相应位置插入新字符串 for (my $i = 0; $i < scalar(@lines); $i++) { if ($lines[$i] =~ /$search_str/) { splice(@lines, $i + 1, 0, "testtest\n"); last; } } # 写入修改后的内容到文件 open($fh, ">", $filename) or die "无法写入文件 $filename: $!"; print $fh @lines; close($fh); ``` 上述代码打开当前文件夹下的 test.sim_command 文件,查找字符串 "VPD_DUMP",并在该字符串的下一行插入 "testtest"。修改后的内容将写入原文件中。请注意,在使用文件操作函数时,需要注意文件的打开、关闭以及读写权限等问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值