首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 付费问答
    3. 发新帖
[旧帖] 如何写根据内存特征码定位内存地址 0.00雪花
发表于: 2012-10-1 11:41 6634

[旧帖] 如何写根据内存特征码定位内存地址 0.00雪花

小木鱼 活跃值
2012-10-1 11:41
6634
假如一段特征码是:74 3D 83 7D F8 01 74 37,程序加壳了,特征码对应的地址会变化,易语言如何实现内存搜索特征码,定位到正确的内存地址!

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (6)
点这里
雪    币: 1
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
en ......... 我的笨办法 先找到你要找特征码的基础地址 从这个地址开始搜(至于搜的大小你可以指定1个 或者根据你找到的基础地址附带的也能找到这个程序的长度的 他们好象同时存在一个结构中 好象类似eprocess
2012-10-1 21:22
0
caskywz
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
应该在附近...
2012-10-2 17:19
0
aresljc
雪    币: 1
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
这个你要会识别机器码,74明显是个条件跳转,去学一下汇编语言吧
2012-10-11 23:23
0
曾半仙
雪    币: 3758
活跃值: (3282)
能力值: ( LV15,RANK:500 )
在线值:
发帖
回帖
粉丝
私信
5
1. 获取程序hmodule, 做为循环起点
2. 获取sizeofimage, 做为终点以上两个就是唯一用到的API
3. 把hmodule当作指针, 每次递增1字节, 判断当前DWORD和+4的DWORD是否是7D833D74 和377401F8
2012-10-12 00:10
0
crackhell
雪    币: 100
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
5L方法正确 易语言不会用 C语言很简单搜 CreateToolHelp32SnapShot Module32First/next 可获取基址和大小 至于搜索OpenProcess后ReadProcessMemory 然后搜吧
2012-10-14 18:40
0
visualyan
雪    币: 37
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
什么是特征码?
2012-10-15 12:00
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//