[原创]让winhex支持??模糊查找的通用补丁-安全工具-看雪-安全社区|安全招聘|kanxue.com

最新回复 (5)
真难取雪币： 112 活跃值： (1531) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 257 粉丝 3 关注私信	真难取 2 楼好奇问一下，这dll要113KB那么大？会包含木马吗？ 2016-4-27 13:35 0
menglv 雪币： 10664 活跃值： (3569) 能力值： ( LV3，RANK：20 ) 在线值：发帖 81 回帖 770 粉丝 8 关注私信	menglv 3 楼也许吧，只是不想让别人知道我的代码 2016-4-27 13:54 0
tmxfh 雪币： 101 活跃值： (144) 能力值： ( LV3，RANK：20 ) 在线值：发帖 19 回帖 141 粉丝 0 关注私信	tmxfh 4 楼这东西确实不错的说发个自己写的查找代码 //内存比较函数，支持模糊查找，为?时通配 size = sizeof(array) static INT XMemCmp(LPBYTE startAddr, UINT len, LPBYTE obj, UINT size) { MEMORY_BASIC_INFORMATION mbi; ZeroMemory(&mbi, sizeof(MEMORY_BASIC_INFORMATION)); if (!VirtualQuery((LPCVOID)startAddr, &mbi, sizeof(MEMORY_BASIC_INFORMATION))) { return 0; } if (mbi.State != MEM_COMMIT) { return 0; } //if (mbi.Protect && PAGE_EXECUTE_READ if (size > len) return 0; for (UINT i = (UINT)startAddr; i < (UINT)startAddr + len; i++) { LPBYTE curPbt = (LPBYTE)i; for (UINT j = (UINT)obj; j < (UINT)obj + size; j++) { LPBYTE objPbt = (LPBYTE)j; if ((curPbt == objPbt) \|\| (*objPbt == '?')) { ++curPbt; } else { break; } if (j == (UINT)obj + size - 1) return i; } } return 0; } 2016-6-4 00:17 0
haojunzhao 雪币： 27 活跃值： (486) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 74 粉丝 1 关注私信	haojunzhao 5 楼 Use as wildcard:[3F]选项打勾后，模糊查找的地方用3F代替就可，根本不用补丁 2016-6-6 11:59 0
menglv 雪币： 10664 活跃值： (3569) 能力值： ( LV3，RANK：20 ) 在线值：发帖 81 回帖 770 粉丝 8 关注私信	menglv 6 楼 [QUOTE=haojunzhao;1432716]Use as wildcard:[3F]选项打勾后，模糊查找的地方用3F代替就可，根本不用补丁[/QUOTE] 你不觉得这样很麻烦？还有就是你这样是要去掉空格的. 2016-6-6 13:15 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (5)
真难取雪币： 112 活跃值： (1531) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 257 粉丝 3 关注私信	真难取 2 楼好奇问一下，这dll要113KB那么大？会包含木马吗？ 2016-4-27 13:35 0
menglv 雪币： 10664 活跃值： (3569) 能力值： ( LV3，RANK：20 ) 在线值：发帖 81 回帖 770 粉丝 8 关注私信	menglv 3 楼也许吧，只是不想让别人知道我的代码 2016-4-27 13:54 0
tmxfh 雪币： 101 活跃值： (144) 能力值： ( LV3，RANK：20 ) 在线值：发帖 19 回帖 141 粉丝 0 关注私信	tmxfh 4 楼这东西确实不错的说发个自己写的查找代码 //内存比较函数，支持模糊查找，为?时通配 size = sizeof(array) static INT XMemCmp(LPBYTE startAddr, UINT len, LPBYTE obj, UINT size) { MEMORY_BASIC_INFORMATION mbi; ZeroMemory(&mbi, sizeof(MEMORY_BASIC_INFORMATION)); if (!VirtualQuery((LPCVOID)startAddr, &mbi, sizeof(MEMORY_BASIC_INFORMATION))) { return 0; } if (mbi.State != MEM_COMMIT) { return 0; } //if (mbi.Protect && PAGE_EXECUTE_READ if (size > len) return 0; for (UINT i = (UINT)startAddr; i < (UINT)startAddr + len; i++) { LPBYTE curPbt = (LPBYTE)i; for (UINT j = (UINT)obj; j < (UINT)obj + size; j++) { LPBYTE objPbt = (LPBYTE)j; if ((curPbt == objPbt) \|\| (*objPbt == '?')) { ++curPbt; } else { break; } if (j == (UINT)obj + size - 1) return i; } } return 0; } 2016-6-4 00:17 0
haojunzhao 雪币： 27 活跃值： (486) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 74 粉丝 1 关注私信	haojunzhao 5 楼 Use as wildcard:[3F]选项打勾后，模糊查找的地方用3F代替就可，根本不用补丁 2016-6-6 11:59 0
menglv 雪币： 10664 活跃值： (3569) 能力值： ( LV3，RANK：20 ) 在线值：发帖 81 回帖 770 粉丝 8 关注私信	menglv 6 楼 [QUOTE=haojunzhao;1432716]Use as wildcard:[3F]选项打勾后，模糊查找的地方用3F代替就可，根本不用补丁[/QUOTE] 你不觉得这样很麻烦？还有就是你这样是要去掉空格的. 2016-6-6 13:15 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复