C++特征码定位

最新推荐文章于 2024-04-06 14:28:04 发布
置顶 最新推荐文章于 2024-04-06 14:28:04 发布
阅读量8.1k 收藏 17
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/woshilxq/article/details/40531821
版权 
// BaseAddrTools.cpp : Defines the entry point for the DLL application.
//

#include <windows.h>
#include <tlhelp32.h>
#include <stdio.h>
BOOL GetProcessModuleHandle(DWORD PID,const char*szModuleName,MODULEENTRY32 *pModule);//获取模块信息的
BOOL StringToByte(const char *InBuff,unsigned char *OutBuff);//字符串转换为字节数组
BYTE *MemoryFind(BYTE *Buff1,BYTE *Buff2,DWORD Buff1Size,DWORD Buff2Size);//查找数组地址
void FindCallAddr(const char *Buff,int OffsetSize,const char *ModuleName,char *Regexp);//查找CALL地址
void FindFunctionAddr(const char *Buff,int OffsetSize,const char *ModuleName,char *Regexp);//查找函数头地址
void FindConstAddr(const char *Buff,int OffsetSize,const char *ModuleName,char *Regexp);//查找常量的值

BOOL WINAPI DllMain( HANDLE hModule, 
                       DWORD  ul_reason_for_call, 
                       LPVOID lpReserved
					 )
{
	
	FindConstAddr("558B??83????5356578D????B9????????B8????????F3??",0XD,"BaseAddrTools.exe","0x%08X\n");
	return TRUE;
}

void FindConstAddr(const char *Buff,int OffsetSize,const char *ModuleName,char *Regexp)
{
	MODULEENTRY32 Module32;
	if (GetProcessModuleHandle(GetCurrentProcessId(),ModuleName,&Module32) == FALSE)
		return ;//如果没找到该模块则返回
	DWORD BuffLen = strlen(Buff)/2;//保存传入字符串的长度
	BYTE *OutBuff = new BYTE[BuffLen];//零时变量保存转换后的数组,+3是因为
	if(!StringToByte(Buff,OutBuff))
	{//如果转换失败则释放内存返回
		delete []OutBuff;
		return ;
	}
	BYTE *Temp = MemoryFind(Module32.modBaseAddr,OutBuff,Module32.modBaseSize,BuffLen);//保存一个零时变量来保存返回值的
	while (Temp)
	{
		char DbgOutBuff[MAX_PATH] = {0};
		sprintf(DbgOutBuff,Regexp,*(DWORD *)((int)Temp+OffsetSize));
		OutputDebugString(DbgOutBuff);
		Temp = MemoryFind(Temp+1,OutBuff,Module32.modBaseSize - (Temp - Module32.modBaseAddr),BuffLen);
	}
	delete []OutBuff;
}

void FindFunctionAddr(const char *Buff,int OffsetSize,const char *ModuleName,char *Regexp)
{
	MODULEENTRY32 Module32;
	if (GetProcessModuleHandle(GetCurrentProcessId(),ModuleName,&Module32) == FALSE)
		return ;//如果没找到该模块则返回
	DWORD BuffLen = strlen(Buff)/2;//保存传入字符串的长度
	BYTE *OutBuff = new BYTE[BuffLen];//零时变量保存转换后的数组,+3是因为
	if(!StringToByte(Buff,OutBuff))
	{//如果转换失败则释放内存返回
		delete []OutBuff;
		return ;
	}
	BYTE *Temp = MemoryFind(Module32.modBaseAddr,OutBuff,Module32.modBaseSize,BuffLen);//保存一个零时变量来保存返回值的
	while (Temp)
	{
		char DbgOutBuff[MAX_PATH] = {0};
		sprintf(DbgOutBuff,Regexp,(int)Temp+OffsetSize);
		OutputDebugString(DbgOutBuff);
		Temp = MemoryFind(Temp+1,OutBuff,Module32.modBaseSize - (Temp - Module32.modBaseAddr),BuffLen);
	}
	delete []OutBuff;
}
void FindCallAddr(const char *Buff,int OffsetSize,const char *ModuleName,char *Regexp)
{
	MODULEENTRY32 Module32;
	if (GetProcessModuleHandle(GetCurrentProcessId(),ModuleName,&Module32) == FALSE)
		return ;//如果没找到该模块则返回
	DWORD BuffLen = strlen(Buff)/2;//保存传入字符串的长度
	BYTE *OutBuff = new BYTE[BuffLen];//零时变量保存转换后的数组,+3是因为
	if(!StringToByte(Buff,OutBuff))
	{//如果转换失败则释放内存返回
		delete []OutBuff;
		return ;
	}
	BYTE *Temp = MemoryFind(Module32.modBaseAddr,OutBuff,Module32.modBaseSize,BuffLen);//保存一个零时变量来保存返回值的
	while (Temp)
	{
		DWORD CallAddr = *(DWORD*)(Temp+OffsetSize+1) + (int)Temp+OffsetSize + 5;
		char DbgOutBuff[MAX_PATH] = {0};
		sprintf(DbgOutBuff,Regexp,CallAddr);
		OutputDebugString(DbgOutBuff);
		Temp = MemoryFind(Temp+1,OutBuff,Module32.modBaseSize - (Temp - Module32.modBaseAddr),BuffLen);
	}
	delete []OutBuff;
}

BYTE *MemoryFind(BYTE *Buff1,BYTE *Buff2,DWORD Buff1Size,DWORD Buff2Size)
{
	if (Buff1Size < Buff2Size)
		return NULL;
	for (DWORD Count1 = 0 ; Count1 + Buff2Size <= Buff1Size; Count1++)
	{
		for (DWORD Count2 = 0;Count2 < Buff2Size;Count2++)
		{
			if (Buff2[Count2] == 0)
				continue;
			if (Buff1[Count1 + Count2] != Buff2[Count2])
				break;
		}
		if (Count2 == Buff2Size)
		{
			return &Buff1[Count1];
		}
	}
	return NULL;
}
BOOL GetProcessModuleHandle(DWORD PID,const char*szModuleName,MODULEENTRY32 *pModule)
{
	BOOL FunctionRetn = FALSE;
	HANDLE handle;
	MODULEENTRY32  Module32;
	memset(&Module32,0,sizeof(Module32));
	Module32.dwSize = sizeof(Module32);
	BOOL bRet = FALSE;
	handle = CreateToolhelp32Snapshot(TH32CS_SNAPMODULE,PID);
	if(handle == INVALID_HANDLE_VALUE) return FunctionRetn;
	bRet = Module32First(handle,&Module32);
	while(bRet)
	{
//		printf("%d\t%s\t%s\n",Module32.th32ModuleID,Module32.szModule,Module32.szExePath);
		if(strcmp(szModuleName,Module32.szModule) == 0)
		{
			memcpy(pModule,&Module32,sizeof(MODULEENTRY32));
			FunctionRetn = TRUE;
			break;
		}
		//		OutputDebugString(buf);
		bRet = Module32Next(handle,&Module32);
	}
	CloseHandle(handle);
	return FunctionRetn;
}
BOOL StringToByte(const char *InBuff,unsigned char *OutBuff)
{
	DWORD BuffSize = strlen(InBuff);
	if (BuffSize%2 != 0)
	{
		MessageBox(0,"特征有误","",0);
		return FALSE;
	}
	//零时变量保存转换后的数组,+3是因为sscanf复制的是4个字节,最后一个字节时会访问越界
	BYTE *TMPBUF = new BYTE[BuffSize/2+3];
	memset(TMPBUF,0,BuffSize/2);
	for (DWORD Index = 0 ; Index < BuffSize ; Index+=2)
	{
		char buf[3] = {0};
		buf[0] = InBuff[Index];
		buf[1] = InBuff[Index+1];
		sscanf(buf,"%X",&TMPBUF[Index/2]);
	}
	memcpy(OutBuff,TMPBUF,BuffSize/2);
	delete []TMPBUF;
	return TRUE;
}

woshilxq
关注
  • 1
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
Sunday算法特征码搜索极速定位基址和call地址C++(支持通配符)
11-11
Sunday算法特征码搜索极速定位基址和call地址C++(支持通配符),绝对可以用的特征码搜索基址,call的地址。上传备用。
C++实现仿CE工具-快速内存搜索-内存特征定位快速实现-代码很精妙
追逐光芒,追随内心
07-10 3301
第一步 进行内存属性过滤,第二步 就是拷贝内存到自身进程进行for循环遍历,这样速度不快才怪!搜索内存底层没用API函数,直接是纯汇编了。
特征定位
lwqamm的博客
06-10 606
在一阵优美的音乐声中我们就开始了特征定位的课程 首先我们要做一些准备工作,安装VS2019 番茄助手。 然后就可以来学了这里就不讲了 原来创建失败是工程名中用了下划线_ 下面放上我们需要的常用函数.........
教大家写特征码扫描工具来自动寻找CALL地址
c2unix的专栏
03-09 3004
快一年没接触外挂了。现在回来学习,哎,但师傅事情忙,又没空理我了。 闲着没事来发篇文章给各位新手,高手可以直接跳过了。 今天要说的是怎样制作自己的特征码扫描工具。 众所周知,游戏更新一般那些CALL(过程或函数)都是不改变的。 (除非有什么或需要变动什么功能才会去改吧,总之极少更改。) 那么在这种条件下,我们就来写一个根据特征码来找到内存中这函数的地址。 寻找特征码的方法有两种,一是根据看哪里调用...
Windows 程序文件特征码识别定位方法
溡漪幽博客
01-22 1361
常见的文件特征码识别定位是基于硬编码指令定位、逻辑偏移量等方法,这种方法对于定位字符串等相对固定的数据非常友好。但是,对于编译程序中经常更新的组件,定位其中的指令代码就会因为版本更新而需要同步更新定位方法。文本介绍一种基于控制流程和函数调用链导向的特征码匹配定位方法,同时也从个人有限的角度去分析如何更好地选择特征码。特征码是一串二进制字符串,可以用来定位数据、判断字段、识别病毒等。特征码通常是从文件或汇编代码中提取。特征码可以被杀毒软件用来扫描病毒,也可以被病毒用来修改或掩码,实现免杀。
C++特征定位基址源码
09-16
特征定位基址源码,仅供学习参考
C++ 进程内存搜索,特征码极速定位,方便找Call找地址!
04-29
C++ 进程内存搜索,特征码极速定位,方便找Call 找地址!!
C++ 特征码搜索支持问号搜索 开源
08-09
标题"‘C++ 特征码搜索支持问号搜索 开源’"表明我们讨论的是一个使用C++编写的、具有特征码搜索功能的软件或库,并且该软件或库允许用户使用问号(?)通配符进行模糊匹配。这使得开发者和研究人员能够更加灵活地...
C++ 得到系统特征码 CPU BIOS 硬盘 ID,64位,32位,亲测可用
04-20
在IT领域,获取系统特征码是常见的需求,特别是在软件安全和授权管理中。本文将详细介绍如何使用C++通过Windows Management Instrumentation(WMI)技术来获取CPU、BIOS以及硬盘ID,这些信息构成了系统的独特标识。 ...
C++ sunday算法,极速定位指定进程内存特征码!
vinkey_st的博客
09-24 786
【代码】C++ sunday算法,极速定位指定进程内存特征码!
特征码搜索基址 c/c++源代码
01-08
游戏特征码搜索基址 c/c++源代码 有图有解释,拿来即可用 本人亲测,可用 代码来源于互联网:)
C++搜索内存特征码 支持模糊匹配
最新发布
wtujoxk的博客
04-06 358
【代码】C++搜索内存特征码 支持模糊匹配。
C++ sunday算法,极速定位指定进程内存特征
qq_22723497的博客
04-29 5240
#include <windows.h> #include <time.h> #include <iostream> using namespace std; /* findMatchingCode() 参数说明: 1) hProcess 要打开的进程句柄 2) markCode 特征码,支持通配符(??),如: 55 8b ec ?? 56 83 ec...
Sunday算法实现内存快速搜索特征码(支持带问号)
LYSM
11-09 1256
效果图: 代码: #include<Windows.h> #include<iostream> #include<vector> #include<time.h> using namespace std; #define BLOCKMAXSIZE 409600//每次读取内存的最大大小 BYTE* MemoryData;//每次将读取的内存读入这里 short Next[260]; //特征码转字节集 WORD GetTzmArray(char*
[c++]根据二维码矩形特征定位识别位置
weixin_30938149的博客
08-29 784
我们发现左上、左下、右上三个位置探测图形,在二维码的解码过程中,其实是分几个步骤的,首先就是要定位这个二维码确认其位置,然后才能取出里面的数据,而这个定位的点就是这三个。在距离二维码较远时,可能无法解析出完整的数据,但是却能定位这个二维码,通过定位点的信息,我们可以进行放大的操作,从而获取到更加精确的图像数据,也更有利于我们解析。 二维码结构 ...
OD模糊查找特征
weixin_33834628的博客
07-05 3281
为了更新数据,我们常常需要搜索特征码,但是OD里不能直接查找模糊数据.近两天通过看壳的世界(前两课免费),我发现其实还是可以实现的,只是以前太粗心不会用.比如我们搜索如下语句:内存地址 二进制 汇编指令 备注00735EC3 33C0 XOR EAX,EAX//这条确定00735EC5 83FF 1A ...
内核特征码搜索 获取未导出函数
zhuhuibeishadiao
06-19 3736
无聊写了下 有Bug 注意下就好啦~ #include "GetUndocumentFunctionAdress.h" #pragma warning(disable : 4047) PVOID GetCallPoint(PVOID pCallPoint) { ULONG dwOffset = 0; ULONG_PTR returnAddress = 0; LARGE
封装一个c++ 特征码搜索
07-10
要封装一个 C++ 特征码搜索的功能,你可以按照以下步骤进行: 1. 创建一个 C++ 类或函数,用于封装特征码搜索的功能。 2. 在该类或函数中,定义一个输入参数,用于接收待搜索的特征码。 3. 实现特征码搜索的逻辑...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值