[原创]让winhex支持??模糊查找的通用补丁-资源下载-看雪-安全社区|安全招聘|kanxue.com

最新回复 (5)
真难取雪币： 111 活跃值： (1409) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 242 粉丝 3 关注私信	真难取 2016-4-27 13:35 2 楼 0 好奇问一下，这dll要113KB那么大？会包含木马吗？
menglv 雪币： 10740 活跃值： (2604) 能力值： ( LV3，RANK：20 ) 在线值：发帖 81 回帖 770 粉丝 7 关注私信	menglv 2016-4-27 13:54 3 楼 0 也许吧，只是不想让别人知道我的代码
tmxfh 雪币： 101 活跃值： (104) 能力值： ( LV3，RANK：20 ) 在线值：发帖 19 回帖 143 粉丝 0 关注私信	tmxfh 2016-6-4 00:17 4 楼 0 这东西确实不错的说发个自己写的查找代码 //内存比较函数，支持模糊查找，为?时通配 size = sizeof(array) static INT XMemCmp(LPBYTE startAddr, UINT len, LPBYTE obj, UINT size) { MEMORY_BASIC_INFORMATION mbi; ZeroMemory(&mbi, sizeof(MEMORY_BASIC_INFORMATION)); if (!VirtualQuery((LPCVOID)startAddr, &mbi, sizeof(MEMORY_BASIC_INFORMATION))) { return 0; } if (mbi.State != MEM_COMMIT) { return 0; } //if (mbi.Protect && PAGE_EXECUTE_READ if (size > len) return 0; for (UINT i = (UINT)startAddr; i < (UINT)startAddr + len; i++) { LPBYTE curPbt = (LPBYTE)i; for (UINT j = (UINT)obj; j < (UINT)obj + size; j++) { LPBYTE objPbt = (LPBYTE)j; if ((curPbt == objPbt) \|\| (*objPbt == '?')) { ++curPbt; } else { break; } if (j == (UINT)obj + size - 1) return i; } } return 0; }
haojunzhao 雪币： 19 活跃值： (196) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 73 粉丝 1 关注私信	haojunzhao 2016-6-6 11:59 5 楼 0 Use as wildcard:[3F]选项打勾后，模糊查找的地方用3F代替就可，根本不用补丁
menglv 雪币： 10740 活跃值： (2604) 能力值： ( LV3，RANK：20 ) 在线值：发帖 81 回帖 770 粉丝 7 关注私信	menglv 2016-6-6 13:15 6 楼 0 [QUOTE=haojunzhao;1432716]Use as wildcard:[3F]选项打勾后，模糊查找的地方用3F代替就可，根本不用补丁[/QUOTE] 你不觉得这样很麻烦？还有就是你这样是要去掉空格的.
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (5)
真难取雪币： 111 活跃值： (1409) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 242 粉丝 3 关注私信	真难取 2016-4-27 13:35 2 楼 0 好奇问一下，这dll要113KB那么大？会包含木马吗？
menglv 雪币： 10740 活跃值： (2604) 能力值： ( LV3，RANK：20 ) 在线值：发帖 81 回帖 770 粉丝 7 关注私信	menglv 2016-4-27 13:54 3 楼 0 也许吧，只是不想让别人知道我的代码
tmxfh 雪币： 101 活跃值： (104) 能力值： ( LV3，RANK：20 ) 在线值：发帖 19 回帖 143 粉丝 0 关注私信	tmxfh 2016-6-4 00:17 4 楼 0 这东西确实不错的说发个自己写的查找代码 //内存比较函数，支持模糊查找，为?时通配 size = sizeof(array) static INT XMemCmp(LPBYTE startAddr, UINT len, LPBYTE obj, UINT size) { MEMORY_BASIC_INFORMATION mbi; ZeroMemory(&mbi, sizeof(MEMORY_BASIC_INFORMATION)); if (!VirtualQuery((LPCVOID)startAddr, &mbi, sizeof(MEMORY_BASIC_INFORMATION))) { return 0; } if (mbi.State != MEM_COMMIT) { return 0; } //if (mbi.Protect && PAGE_EXECUTE_READ if (size > len) return 0; for (UINT i = (UINT)startAddr; i < (UINT)startAddr + len; i++) { LPBYTE curPbt = (LPBYTE)i; for (UINT j = (UINT)obj; j < (UINT)obj + size; j++) { LPBYTE objPbt = (LPBYTE)j; if ((curPbt == objPbt) \|\| (*objPbt == '?')) { ++curPbt; } else { break; } if (j == (UINT)obj + size - 1) return i; } } return 0; }
haojunzhao 雪币： 19 活跃值： (196) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 73 粉丝 1 关注私信	haojunzhao 2016-6-6 11:59 5 楼 0 Use as wildcard:[3F]选项打勾后，模糊查找的地方用3F代替就可，根本不用补丁
menglv 雪币： 10740 活跃值： (2604) 能力值： ( LV3，RANK：20 ) 在线值：发帖 81 回帖 770 粉丝 7 关注私信	menglv 2016-6-6 13:15 6 楼 0 [QUOTE=haojunzhao;1432716]Use as wildcard:[3F]选项打勾后，模糊查找的地方用3F代替就可，根本不用补丁[/QUOTE] 你不觉得这样很麻烦？还有就是你这样是要去掉空格的.
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复