API内存搜索引擎(C语言内嵌汇编)

最新推荐文章于 2023-05-25 16:22:26 发布
最新推荐文章于 2023-05-25 16:22:26 发布
阅读量1.1w 收藏 2
点赞数 1
分类专栏: 网络安全 C/C++学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaocaiju/article/details/8193351
版权

API内存搜索引擎(C语言内嵌汇编)

// apisearchEngine.cpp : Defines the entry point for the console application.
//

#include "stdafx.h"
#include <Windows.h>

 DWORD __stdcall GetStrLengthA(char* szName)
{
	_asm
	{
		push edi
		push ebx
		mov eax,  szName
		mov edi, eax
		mov ebx, eax
		xor al, al

lstrscan:
		scas byte ptr [edi]          //字符扫描法检查字符串指针长度 
		jnz lstrscan
		dec edi
		sub edi, ebx
		mov eax, edi
		pop ebx
		pop edi
		
	}
}


 DWORD __stdcall CalcBufferCRC(char* lpBuffer)
{
	_asm
	{
		push ebx
		push edi
		push ecx
		push ebp

		mov ebx, lpBuffer
		push ebx
		call GetStrLengthA
		mov edi, eax
		shr edi, 2
		xor ecx, ecx
loopBegin:
		dec edi
		jl loopOver
		xor ecx, dword ptr [ebx]
		add ebx, 4
		jmp loopBegin
loopOver:
		mov eax, ecx

		pop ebp
		pop ecx
		pop edi
		pop ebx
		
	}
}

DWORD __stdcall GetProcAddressA(HANDLE hModule, DWORD dwExportCRC)
{
	//DWORD lpProcNameCRC = ;
	DWORD dwProcNumber;
	LPVOID pProcAddress, pProcNameAddress, pProcIndexAddress;
	_asm
	{
		push ebx
		push esi
		
		mov eax, hModule
		mov edx,dwExportCRC      // edx=函数名CRC32
		mov ebx, eax                // ebx=基址
		mov eax, [ebx+0x3c]          // eax=文件头偏移
		mov esi, [ebx+eax+0x78]      // esi=输出表偏移,文件头+可选头的长度=$78
		lea esi, [ebx+esi+0x18]      // esi=函数名数量 = 函数数量 [ebx+esi+$14]
		lods dword ptr ds:[esi]
		mov dwProcNumber, eax       // eax=函数名数量
		lods dword ptr ds:[esi]
		mov pProcAddress, eax       // eax=函数偏移量
		lods dword ptr ds:[esi]
		mov pProcNameAddress, eax   // eax=函数名偏移量
		lods dword ptr ds:[esi]
		mov pProcIndexAddress, eax  // eax=序列号偏移量
		mov edx, dwProcNumber       // edx=遍历次数
LoopBegin:
		xor eax, eax                // Result = 0
		dec edx
		jl LoopEnd
		mov eax, pProcNameAddress
		add eax, ebx                // eax=函数名基地址
		mov eax, dword ptr ds:[eax+edx*4]
		add eax, ebx                // eax=遍历函数名
		push eax
		call CalcBufferCRC
		cmp eax, dwExportCRC      // 对比CRC32
		jnz LoopBegin
		shl edx, 1
		add edx, pProcIndexAddress  // 函数基序列
		movzx eax, word ptr ss:[edx+ebx]
		shl eax, 2
		add eax, pProcAddress       // 函数基地址
		mov eax, [eax+ebx]
		add eax, ebx                // Result = 函数地址
LoopEnd:
		pop esi
		pop ebx
		
	}
}



DWORD __stdcall GetKernel32Module()
{
	_asm
	{
		PUSH	EBP
		XOR     ECX, ECX
		//MOV     ESI, [FS:ECX + 0x30]        ; ESI = &(PEB) ([FS:0x30])    
		MOV		ESI, FS:[0X30]
		MOV     ESI, [ESI + 0x0C]           ; ESI = PEB->Ldr    
		MOV     ESI, [ESI + 0x1C]           ; ESI = PEB->Ldr.InInitOrder
next_module:    
		MOV     EBP, [ESI + 0x08]           ; EBP = InInitOrder[X].base_address    
		MOV     EDI, [ESI + 0x20]           ; EBP = InInitOrder[X].module_name (unicode)   
		MOV     ESI, [ESI]                  ; ESI = InInitOrder[X].flink (next module)    
		CMP     [EDI + 12*2], CL            ; modulename[12] == 0 ?    
		JNE     next_module                 ; No: try next module.

		MOV		EAX, EBP
		POP		EBP
		
	}
}
int main(int argc, char* argv[])
{
	printf("write by xiaoju !\n");
	printf("*****************\n");
	DWORD dwBaseKernel32 = GetKernel32Module();
	printf("Kernel32的模块地址:%08x\n",dwBaseKernel32);


	DWORD LoadLibraryCRC32= CalcBufferCRC("LoadLibraryA") ;
	printf("LoadLibraryA的CRC值(静态写到程序中):%08x\n\n", LoadLibraryCRC32);
	
	
	
	DWORD dwAddrLoadLibrary = GetProcAddressA((HANDLE)dwBaseKernel32, 0x577a7461); 
	printf("在程序中动态得到的LoadLibraryA的地址:%08x\n", dwAddrLoadLibrary);
	getchar();
	return 0;
}


小驹
关注
专栏目录
C/C++开发人员要了解的几大著名C/C++开源库
dvlinker的技术专栏
07-24 1万+
本文详细讲述C/C++开发人员需要了解的几大著名C/C++开源库。
c++实现内存搜索源代码(和CE差不多)
03-09
c++实现内存搜索源代码(和CE差不多);c++实现内存搜索源代码(和CE差不多);c++实现内存搜索源代码(和CE差不多).
API内存搜索引擎C语言内嵌汇编) .
坦然
08-10 1052
// apisearchEngine.cpp : Defines the entry point for the console application. // #include "stdafx.h" #include DWORD __stdcall GetStrLengthA(char* szName) { _asm { push edi push eb
c语言 内存搜索,C语言内嵌汇编API内存搜索引擎实例
weixin_35648264的博客
05-19 225
本文实例讲述了C语言内嵌汇编API内存搜索引擎的方法,分享给大家供大家参考。具体实现方法如下:// apisearchEngine.cpp : Defines the entry point for the console application.//#include "stdafx.h"#include DWORD __stdcall GetStrLengthA(char* szName){_a...
c语言 内存搜索,API内存搜索引擎C语言内嵌汇编
weixin_28675839的博客
05-19 262
API内存搜索引擎(C语言内嵌汇编)// apisearchEngine.cpp : Defines the entry point for the console application.//#include "stdafx.h"#include DWORD __stdcall GetStrLengthA(char* szName){_asm{push edipush ebxmov eax, ...
Sunday算法实现内存快速搜索特征码(支持带问号)
吾无法无天的博客
10-07 9441
效果图: 代码: #include<Windows.h> #include<iostream> #include<vector> #include<time.h> using namespace std; #define BLOCKMAXSIZE 409600//每次读取内存的最大大小 BYTE* MemoryData;//每次将读取的...
C语言内嵌汇编API内存搜索引擎实例
09-04
1. C语言内嵌汇编:如何在C程序中插入汇编代码,以及如何使用汇编指令进行低级操作。 2. 汇编语言:`push`、`pop`、`mov`、`xor`、`scas`等基本汇编指令的用法。 3. 内存操作:直接操作内存地址,如计算字符串长度和...
我的编程感悟(中文PDF)(共37M二分卷)分卷二
06-23
6.3.2 使用内嵌汇编 148 6.3.3 C++的函数调用规则 150 6.3.4 寄存器的使用 152 6.3.5 _declspec(naked) 152 6.4 指令使用的技巧 153 6.4.1 LEA:别样的内存寻址指令 153 6.4.2 BSWAP:扩展寄存器的个数 154 6.4.3 ...
我的编程感悟(中文PDF)(共37M二分卷)分卷一
06-23
6.3.2 使用内嵌汇编 148 6.3.3 C++的函数调用规则 150 6.3.4 寄存器的使用 152 6.3.5 _declspec(naked) 152 6.4 指令使用的技巧 153 6.4.1 LEA:别样的内存寻址指令 153 6.4.2 BSWAP:扩展寄存器的个数 154 6.4.3 ...
内存搜索函数 参考 C 语言库函数 strstr 函数
viphl的专栏
02-10 879
  // C标准库中文版 strstr 库函数实现 char *(strstr)(const char *s1, const char *s2) { /* find first occurrence of s2[] in s1[]*/ if(*s2 == '\0') { return ((char*)s1); } /* match rest ...
c++内存搜索学习
10-08
c++内存搜索学习,学习怎么根据数值搜索其在内存中的地址。
C++内存查找实例
12-26
本文实例讲述了C++内存查找的方法,分享给大家供大家参考。具体如下: windows程序设计中的内存查找功能,主程序代码如下: 代码如下:// MemRepair.cpp : 定义控制台应用程序的入口点。  //    #include “stdafx.h”  #include     BOOL FindFirst(DWORD dwValue);  BOOL FindNext(DWORD dwValue);  HANDLE g_hProcess;  DWORD g_arList[1024];  DWORD g_nListCnt;    BOOL
C++ 进程内存搜索,特征码极速定位,方便找Call找地址!
04-29
C++ 进程内存搜索,特征码极速定位,方便找Call 找地址!!
内存搜索源码(内存搜索工具)
05-21
内存搜索内存搜索内存搜索内存搜索内存搜索内存搜索内存搜索内存搜索
c语言 内存搜索,怎么在一段内存中搜索一个十六进制串
weixin_28842367的博客
05-19 717
如何在一段内存中搜索一个十六进制串?比如有长度为N,首地址为P的内存,搜索其中的内容是否包含有“001122ff”这样的串?如何能高效搜索?谢谢------解决方案--------------------可以百度一下:KMP算法,BM算法。参考:http://www.cnblogs.com/whyandinside/archive/2012/06/03/2532651.html------解决方案...
[C++] Memory Retrieval(内存检索)
weixin_34293902的博客
10-14 241
Traverse the memory by (char*) , because every time it will increase by 1byte when i want get the int value , i need convert(char*) to (int*) , after that , it will get the value from continuous...
C++-内存管理(整理笔记)
热门推荐
MasterFT的专栏
07-27 1万+
  C++内存管理(整理笔记)C++内存管理详解l          内存分配方式在C++中,内存分成5个区,分别是堆、栈、自由存储区、全局/静态区和常量存储区. 栈:存放函数参数以及局部变量,在出作用域时,将自动被释放.栈内存分配运算内置于处理器的指令集中,效率很高,但分配的内存容量有限.堆:new分配的内存块(包括数组,类实例等),需delete手动释放.如果未释放,在
c语言内存检索和动态库注入
Simple_Man_Just的博客
11-28 1517
【背景】学习c语言内存检索和动态库 内存检索:内存检索,顾名思义,对某段内存进行遍历搜索 动态库注入:动态库又称动态链接库英文为DLL,是Dynamic Link Library 的缩写形式,DLL是一个包含可由多个程序同时使用的代码和数据的库,DLL不是可执行文件。动态链接提供了一种方法,使进程可以调用不属于其可执行代码的函数。函数的可执行代码位于一个 DLL 中,该 DLL 包含
C语言内存检查
最新发布
m0_48995611的博客
05-25 499
本文提供一种C语言内存检查方法,包括内存写越界和内存泄漏。该方法在基础函数基础上封装malloc / realloc / free,使用时应当调用封装后的函数os_malloc / os_realloc / os_free。
C语言内嵌汇编详解:理解段错误与内联汇编技巧
"本文主要介绍了C语言内嵌汇编的概念、用途和基本语法,强调了在使用内嵌汇编时可能会遇到的段错误问题,并提供了一个实际的例子来演示如何通过内嵌汇编进行变量间的运算操作。" 在C语言编程中,内嵌汇编是一种高级...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值