API内存搜索引擎(C语言内嵌汇编)

最新推荐文章于 2024-01-20 17:41:31 发布
最新推荐文章于 2024-01-20 17:41:31 发布
阅读量1.1w 收藏 2
点赞数 1
分类专栏: 网络安全 C/C++学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaocaiju/article/details/8193351
版权

API内存搜索引擎(C语言内嵌汇编)

// apisearchEngine.cpp : Defines the entry point for the console application.
//

#include "stdafx.h"
#include <Windows.h>

 DWORD __stdcall GetStrLengthA(char* szName)
{
	_asm
	{
		push edi
		push ebx
		mov eax,  szName
		mov edi, eax
		mov ebx, eax
		xor al, al

lstrscan:
		scas byte ptr [edi]          //字符扫描法检查字符串指针长度 
		jnz lstrscan
		dec edi
		sub edi, ebx
		mov eax, edi
		pop ebx
		pop edi
		
	}
}


 DWORD __stdcall CalcBufferCRC(char* lpBuffer)
{
	_asm
	{
		push ebx
		push edi
		push ecx
		push ebp

		mov ebx, lpBuffer
		push ebx
		call GetStrLengthA
		mov edi, eax
		shr edi, 2
		xor ecx, ecx
loopBegin:
		dec edi
		jl loopOver
		xor ecx, dword ptr [ebx]
		add ebx, 4
		jmp loopBegin
loopOver:
		mov eax, ecx

		pop ebp
		pop ecx
		pop edi
		pop ebx
		
	}
}

DWORD __stdcall GetProcAddressA(HANDLE hModule, DWORD dwExportCRC)
{
	//DWORD lpProcNameCRC = ;
	DWORD dwProcNumber;
	LPVOID pProcAddress, pProcNameAddress, pProcIndexAddress;
	_asm
	{
		push ebx
		push esi
		
		mov eax, hModule
		mov edx,dwExportCRC      // edx=函数名CRC32
		mov ebx, eax                // ebx=基址
		mov eax, [ebx+0x3c]          // eax=文件头偏移
		mov esi, [ebx+eax+0x78]      // esi=输出表偏移,文件头+可选头的长度=$78
		lea esi, [ebx+esi+0x18]      // esi=函数名数量 = 函数数量 [ebx+esi+$14]
		lods dword ptr ds:[esi]
		mov dwProcNumber, eax       // eax=函数名数量
		lods dword ptr ds:[esi]
		mov pProcAddress, eax       // eax=函数偏移量
		lods dword ptr ds:[esi]
		mov pProcNameAddress, eax   // eax=函数名偏移量
		lods dword ptr ds:[esi]
		mov pProcIndexAddress, eax  // eax=序列号偏移量
		mov edx, dwProcNumber       // edx=遍历次数
LoopBegin:
		xor eax, eax                // Result = 0
		dec edx
		jl LoopEnd
		mov eax, pProcNameAddress
		add eax, ebx                // eax=函数名基地址
		mov eax, dword ptr ds:[eax+edx*4]
		add eax, ebx                // eax=遍历函数名
		push eax
		call CalcBufferCRC
		cmp eax, dwExportCRC      // 对比CRC32
		jnz LoopBegin
		shl edx, 1
		add edx, pProcIndexAddress  // 函数基序列
		movzx eax, word ptr ss:[edx+ebx]
		shl eax, 2
		add eax, pProcAddress       // 函数基地址
		mov eax, [eax+ebx]
		add eax, ebx                // Result = 函数地址
LoopEnd:
		pop esi
		pop ebx
		
	}
}



DWORD __stdcall GetKernel32Module()
{
	_asm
	{
		PUSH	EBP
		XOR     ECX, ECX
		//MOV     ESI, [FS:ECX + 0x30]        ; ESI = &(PEB) ([FS:0x30])    
		MOV		ESI, FS:[0X30]
		MOV     ESI, [ESI + 0x0C]           ; ESI = PEB->Ldr    
		MOV     ESI, [ESI + 0x1C]           ; ESI = PEB->Ldr.InInitOrder
next_module:    
		MOV     EBP, [ESI + 0x08]           ; EBP = InInitOrder[X].base_address    
		MOV     EDI, [ESI + 0x20]           ; EBP = InInitOrder[X].module_name (unicode)   
		MOV     ESI, [ESI]                  ; ESI = InInitOrder[X].flink (next module)    
		CMP     [EDI + 12*2], CL            ; modulename[12] == 0 ?    
		JNE     next_module                 ; No: try next module.

		MOV		EAX, EBP
		POP		EBP
		
	}
}
int main(int argc, char* argv[])
{
	printf("write by xiaoju !\n");
	printf("*****************\n");
	DWORD dwBaseKernel32 = GetKernel32Module();
	printf("Kernel32的模块地址:%08x\n",dwBaseKernel32);


	DWORD LoadLibraryCRC32= CalcBufferCRC("LoadLibraryA") ;
	printf("LoadLibraryA的CRC值(静态写到程序中):%08x\n\n", LoadLibraryCRC32);
	
	
	
	DWORD dwAddrLoadLibrary = GetProcAddressA((HANDLE)dwBaseKernel32, 0x577a7461); 
	printf("在程序中动态得到的LoadLibraryA的地址:%08x\n", dwAddrLoadLibrary);
	getchar();
	return 0;
}


小驹
关注
专栏目录
C语言内嵌汇编API内存搜索引擎实例
12-31
本文实例讲述了C语言内嵌汇编API内存搜索引擎的方法,分享给大家供大家参考。具体实现方法如下: 代码如下:// apisearchEngine.cpp : Defines the entry point for the console application.  //    #include “stdafx.h”  #include <Windows>     DWORD __stdcall GetStrLengthA(char* szName)  {      _asm      {          push edi          push ebx    
Sunday算法实现内存快速搜索特征码(支持带问号)
吾无法无天的博客
10-07 9414
效果图: 代码: #include<Windows.h> #include<iostream> #include<vector> #include<time.h> using namespace std; #define BLOCKMAXSIZE 409600//每次读取内存的最大大小 BYTE* MemoryData;//每次将读取的...
ElasticSearch搜索引擎内存分析与设置
张维鹏的博客
02-07 2958
在Elasticsearch 的运行过程中,如何合理分配与设置内存是一件十分重要的事情,否则十分容易出现各种问题。 一、Elasticsearch为什么吃内存: 我们先看下 ES 服务器的总体内存消耗情况: 对于Query Cache、Request Cache、FieldData Cache 以及 Segment 的介绍,在前面的文章以及介绍过了,这里就不重复介绍了: Elasticsearch搜索引擎之缓存:Request Cache、Query Cache、Fiel...
c语言内存函数2
imhuxi的博客
04-17 137
判断str2是否在str1里,返回值为NULL或者str2在str1里的位置。str要可更改,str不为NULL时,函数找到str中第一个sep出现的位置,保存该位置。destination是目标地址,source是源字符串首地址,num为拷贝长度。用法和上面的memcpy一样,这个函数的源地址和目标地址可以重叠。该函数不关系目标地值和源地址的类型,只按照字节复制。当源字符串长度小于num时将在目标后追加0,直到加num个长度。将s指向的空间用n个c填充。s必须是可更改的,因为该函数会改变s的内容。
C++模仿CE工具快速内存搜索——(Sunday算法)
追逐光芒,追随内心
10-03 2321
2、跨进程读取内存:ReadProcessMemory。1、查看内存块信息:VirtualQueryEx。可以看出Cheat Engine内存搜索的核心逻辑是。3、通过“字符串模式匹配算法”进行比较定位。
C语言内嵌汇编编程
11-02
内嵌汇编编程是C语言与底层硬件交互的一种重要方式,允许程序员直接在C程序中嵌入汇编语言代码,利用汇编语言直接操作硬件的灵活性,同时又保留了C语言的高级特性。混合编程具有以下几个知识点: 1. 内嵌汇编的优势...
C语言内嵌汇编.pdf
06-03
C语言内嵌汇编 本资源主要介绍了在C语言中如何使用内嵌汇编语言,包括在不同编译器中的实现方法、两种实现方式、参数传递规则等。 一、两种实现方式 在C语言中嵌入汇编语言代码有两种格式,一种是单句的,一种是...
C语言内嵌汇编
04-04
"C语言内嵌汇编" GCC Inline ASM 是 GCC 编译器支持在 C/C++ 代码中嵌入汇编代码的功能,这些汇编代码被称作 GCC Inline ASM——GCC 内联汇编。这是一个非常有用的功能,有利于我们将一些 C/C++ 语法无法表达的指令...
C语言内存检查
m0_48995611的博客
05-25 494
本文提供一种C语言内存检查方法,包括内存写越界和内存泄漏。该方法在基础函数基础上封装malloc / realloc / free,使用时应当调用封装后的函数os_malloc / os_realloc / os_free。
c++实现内存搜索源代码(和CE差不多)
03-09
c++实现内存搜索源代码(和CE差不多);c++实现内存搜索源代码(和CE差不多);c++实现内存搜索源代码(和CE差不多).
C++ 进程内存搜索,特征码极速定位,方便找Call找地址!
04-29
C++ 进程内存搜索,特征码极速定位,方便找Call 找地址!!
c语言写的搜索引擎,完整版
05-21
c语言写的搜索引擎,完整版,想学的人可以下来看看,呵呆。。。
Impala:基于内存的MPP查询引擎
最新发布
Java/Python大数据成长之路
01-20 1269
Impala是Cloudera公司主导研发的高性能、低延迟的交互式SQL查询引擎,它提供SQL语义,能查询存储在Hadoop的HDFS和HBase中的PB级大数据。Impala主要用于解决Hadoop生态圈无法支持交互式查询数据的痛点,Impala是CDH平台首选的PB级大数据实时交互式查询分析引擎2015年11月,Cloudera将Impala捐赠给了Apache基金会,2017年11月,Impala从Apache孵化器毕业。
c语言内存检索和动态库注入
Simple_Man_Just的博客
11-28 1517
【背景】学习c语言内存检索和动态库 内存检索:内存检索,顾名思义,对某段内存进行遍历搜索 动态库注入:动态库又称动态链接库英文为DLL,是Dynamic Link Library 的缩写形式,DLL是一个包含可由多个程序同时使用的代码和数据的库,DLL不是可执行文件。动态链接提供了一种方法,使进程可以调用不属于其可执行代码的函数。函数的可执行代码位于一个 DLL 中,该 DLL 包含
C 语言获取内存条信息
道亦无名
05-13 1213
以上代码使用了Windows系统提供的GlobalMemoryStatusEx函数获取内存信息,并打印出来。需要注意的是,由于操作系统对于内存的管理和分配是动态的,因此获取的内存信息也只是一个瞬间的状态,并不能代表内存的真实情况。要获取内存条信息,需要使用操作系统提供的系统调用或者第三方库来访问计算机的硬件信息。需要注意的是,不同的操作系统和硬件平台可能有不同的获取内存条信息的方式,因此具体的实现方式可能会有所不同。获取内存信息需要通过操作系统提供的API来实现。
搜索引擎漫谈以及 Zinc 简介
zhangxin09的专栏
06-01 5660
所谓搜索引擎,就是能够搜索任何文本的全文检索,全文检索要经过索引化才行。本文不是说 Google 或者 Bing 那些搜索引擎,而是针对你自己所产生的数据来进行检索。都是搜索 Google 或者 Bing 这类可以参考一下但是搜索你自己的数据。...
C++实现仿CE工具-快速内存搜索-内存特征码定位快速实现-代码很精妙
追逐光芒,追随内心
07-10 3432
第一步 进行内存属性过滤,第二步 就是拷贝内存到自身进程进行for循环遍历,这样速度不快才怪!搜索内存底层没用API函数,直接是纯汇编了。
C语言内嵌汇编详解:理解段错误与内联汇编技巧
"本文主要介绍了C语言内嵌汇编的概念、用途和基本语法,强调了在使用内嵌汇编时可能会遇到的段错误问题,并提供了一个实际的例子来演示如何通过内嵌汇编进行变量间的运算操作。" 在C语言编程中,内嵌汇编是一种高级...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值