[原创]让winhex支持??模糊查找的通用补丁-安全工具-看雪-安全社区|安全招聘|kanxue.com

真难取

雪币： 112

活跃值： (1541)

能力值：

( LV2，RANK：10 )

在线值：

发帖

24

回帖

257

粉丝

3

关注

私信

真难取: 2 楼

好奇问一下，这dll要113KB那么大？会包含木马吗？

2016-4-27 13:35

0

menglv

雪币： 11259

活跃值： (4129)

能力值：

( LV3，RANK：20 )

在线值：

发帖

81

回帖

770

粉丝

8

关注

私信

menglv: 3 楼

也许吧，只是不想让别人知道我的代码

2016-4-27 13:54

0

tmxfh

雪币： 101

活跃值： (164)

能力值：

( LV3，RANK：20 )

在线值：

发帖

19

回帖

142

粉丝

0

关注

私信

tmxfh: 4 楼

这东西确实不错的说
发个自己写的查找代码

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

//内存比较函数，支持模糊查找，为?时通配  size = sizeof(array)
    static INT XMemCmp(LPBYTE startAddr, UINT len, LPBYTE obj, UINT size)
    {
        MEMORY_BASIC_INFORMATION mbi;
        ZeroMemory(&mbi, sizeof(MEMORY_BASIC_INFORMATION));
        if (!VirtualQuery((LPCVOID)startAddr, &mbi, sizeof(MEMORY_BASIC_INFORMATION)))
        {
            return 0;
        }
        if (mbi.State != MEM_COMMIT)
        {
            return 0;
        }
        //if (mbi.Protect && PAGE_EXECUTE_READ
        if (size > len) return 0;
 
        for (UINT i = (UINT)startAddr; i < (UINT)startAddr + len; i++)
        {
            LPBYTE curPbt = (LPBYTE)i;
 
            for (UINT j = (UINT)obj; j < (UINT)obj + size; j++)
            {
                LPBYTE objPbt = (LPBYTE)j;
                if ((*curPbt == *objPbt) || (*objPbt == '?'))
                {
                    ++curPbt;
                }
                else
                {
                    break;
                }
 
                if (j == (UINT)obj + size - 1) return i;
            }
 
        }
        return 0;
 
    }