内存遍历,枚举数据,实现特征码扫描。

内存遍历: 每次读入4096字节,然后每16个字符换一次行,遍历内存 0x00401000 - 0x7FFFFFFF。

#include <stdio.h>

#include <stdlib.h>

#include <windows.h>  

VOID ScanAddress(HANDLE process)

{

	const DWORD beginAddr = 0x00401000;

	const DWORD endAddr = 0x7FFFFFFF;

	const DWORD pageSize = 4096;

	BOOL _break = FALSE;

	BYTE page[pageSize];

	DWORD tmpAddr = beginAddr;

	while (tmpAddr <= endAddr)

	{

		::ReadProcessMemory(process, (LPCVOID)tmpAddr, &page, pageSize, 0);

		for (int x = 0; x < 4096; x++)

		{

			if (x % 16 != 0)

			{

				DWORD ch = page[x];

				if (ch >= 0 && ch <= 15)

				{

					printf("0%x ", ch);

				}

				else

				{

					printf("%x ", ch);

				}

			}

			else

				printf(" | %x \n", tmpAddr);

		}

		tmpAddr += pageSize;

	}

}

int main(int argc, char* argv[])

{

	HANDLE process = ::OpenProcess(PROCESS_ALL_ACCESS, false, 4748);

	ScanAddress(process);

	::CloseHandle(process);

	system("pause");

	return 0;

}

过程:

#include <stdio.h>

#include <stdlib.h>

#include <windows.h>  

VOID ScanAddress(HANDLE Process)

{

	const DWORD beginAddr = 0x00401000;

	const DWORD endAddr = 0x7FFFFFFF;

	unsigned char shell[5] = {0x55,0x8b,0xec,0x6a,0xff};

	unsigned char *read = new unsigned char[5];

	for (int x = 0; x < beginAddr; x++)

	{

		DWORD addr = beginAddr + x;

		ReadProcessMemory(Process, (LPVOID)addr, read, 5, 0);

		printf("%x :", addr);

		for (int y = 0; y < 5; y++)

			printf("%02x ",read[y]);

		printf("\n");

	}

}

int main(int argc, char* argv[])

{

	HANDLE process = ::OpenProcess(PROCESS_ALL_ACCESS, false, 1772);

	ScanAddress(process);

	/*

	unsigned char set[] = { 4,41,55 };

	unsigned char aa[] = { 4, 41, 55 };

	int ret = memcmp(set, aa, 3);

	printf("%d \n", ret);

	*/

	//ScanAddress(process);

	//::CloseHandle(process);

	system("pause");

	return 0;

}

寻找开始

#include <stdio.h>

#include <stdlib.h>

#include <windows.h>  

VOID ScanAddress(HANDLE Process)

{

	const DWORD beginAddr = 0x00401000;

	const DWORD endAddr = 0x7FFFFFFF;

	unsigned char shell[6] = {0xff,0x75,0x10,0xff,0x75,0x0c};

	unsigned char *read = new unsigned char[6];

	for (int x = 0; x < 684032; x++)

	{

		DWORD addr = beginAddr + x;

		ReadProcessMemory(Process, (LPVOID)addr, read, 6, 0);

		int a = memcmp(read, shell, 6);

		if (a == 0)

		{

			printf("%x :", addr);

			for (int y = 0; y < 6; y++)

			{

				printf("%02x ", read[y]);

			}

			printf(" \n");

		}

	}

}

int main(int argc, char* argv[])

{

	HANDLE process = ::OpenProcess(PROCESS_ALL_ACCESS, false, 1772);

	ScanAddress(process);

	system("pause");

	return 0;

}

KMP算法搜索特征码: KMP算法每次在4096字节中寻找特征,成功返回位置,失败返回-1

#include <iostream>

#include <string>

using namespace std;

/* P 为模式串,下标从 0 开始 */

void GetNextval(string SubString, int nextval[])

{

	int SubStringLen = SubString.size();

	int i = 0;

	int j = -1;

	nextval[0] = -1;

	while (i < SubStringLen)

	{

		if (j == -1 || SubString[i] == SubString[j])

		{

			i++; j++;

			if (SubString[i] != SubString[j])

				nextval[i] = j;

			else

				nextval[i] = nextval[j];

		}

		else

		{

			j = nextval[j];

		}

	}

}

/* 在 MainString 中找到 SubString 第一次出现的位置 下标从0开始*/

int KMPSearchString(string MainString, string SubString, int next[])

{

	GetNextval(SubString, next);

	int MainStringIndex = 0;                 // 存储主字符串下标

	int SubStringIndex = 0;                  // 存储子字符串下标

	int MainStringLen = MainString.size();   // 主字符串大小

	int SubStringLen = SubString.size();     // 子字符串大小

	// 循环遍历字符串,因为末尾 '\0' 的存在,所以不会越界

	while (MainStringIndex < MainStringLen && SubStringIndex < SubStringLen)

	{

		// MainString 的第一个字符不匹配或 MainString[] == SubString[]

		if (SubStringIndex == -1 || MainString[MainStringIndex] == SubString[SubStringIndex])

		{

			MainStringIndex++; SubStringIndex++;

		}

		else   // 当字符串匹配失败则跳转

		{

			SubStringIndex = next[SubStringIndex];

		}

	}

	// 最后匹配成功直接返回位置

	if (SubStringIndex == SubStringLen)

		return MainStringIndex - SubStringIndex;

	return -1;

}

int main(int argc, char *argv[])

{

	int next[100] = { 0 };

	char *Str = "e5 8d 64 24 fc ba ff ff ff ff 92 f0 0f c1";

	char *Search = "ba ff ff ff ff 92 f0";

	// 在Str字符串中找Search子串,找到后返回位置

	int ret = KMPSearchString(Str, Search,next);

	printf("%d \n", ret);

	system("pause");

	return 0;

}

将上方代码整合,可实现根据特征码动态打补丁:

int main(int argc, char* argv[])

{

	HANDLE Process = OpenProcess(PROCESS_ALL_ACCESS, false, 2876);

	// 搜索指定特征码的地址数据.

	unsigned char FindCode[6] = { 0xff, 0x75, 0x10, 0xff, 0x75, 0x0c };

	DWORD ret = ScanAddress(Process, FindCode, 6);

	printf("特征地址: %x \n", ret);

	// 给指定位置动态打补丁

	unsigned char Pack[6] = { 0x90, 0x90, 0x90, 0x90, 0x90, 0x90 };

	WriteProcessMemory(Process, (LPVOID)ret, Pack, 6, 0);

	system("pause");

	return 0;

}

C/C++ 内存遍历与KMP特征搜索的更多相关文章

  1. 如何利用AI识别未知——加入未知类(不太靠谱),检测待识别数据和已知样本数据的匹配程度(例如使用CNN降维,再用knn类似距离来实现),将问题转化为特征搜索问题而非决策问题,使用HTM算法(记忆+模式匹配预测就是智能),GAN异常检测,RBF

    https://www.researchgate.net/post/How_to_determine_unknown_class_using_neural_network 里面有讨论,说是用rbf神经 ...

  2. ajax遍历数组(实现百度搜索提示的效果)

    方法一: 页面 <input type="hidden" id="classpath" value="${pageContext.request ...

  3. 字符串匹配算法--KMP字符串搜索(Knuth–Morris–Pratt string-searching)C语言实现与讲解

    一.前言   在计算机科学中,Knuth-Morris-Pratt字符串查找算法(简称为KMP算法)可在一个主文本字符串S内查找一个词W的出现位置.此算法通过运用对这个词在不匹配时本身就包含足够的信息 ...

  4. C++中的内存区域及其性能特征

    首先须要指出的是.我们通经常使用"堆"和"自由存储"这两个术语来区分两种不同类型的动态分配内存. 1.常量数据:常量数据区域主要用于存储字符串以及其它在编译期就 ...

  5. 使用requests爬取梨视频、bilibili视频、汽车之家,bs4遍历文档树、搜索文档树,css选择器

    今日内容概要 使用requests爬取梨视频 requests+bs4爬取汽车之家 bs4遍历文档树 bs4搜索文档树 css选择器 内容详细 1.使用requests爬取梨视频 # 模拟发送http ...

  6. 【算法导论】图的深度优先搜索遍历(DFS)

    关于图的存储在上一篇文章中已经讲述,在这里不在赘述.下面我们介绍图的深度优先搜索遍历(DFS). 深度优先搜索遍历实在访问了顶点vi后,访问vi的一个邻接点vj:访问vj之后,又访问vj的一个邻接点, ...

  7. OpenCV特征点检测算法对比

    识别算法概述: SIFT/SURF基于灰度图, 一.首先建立图像金字塔,形成三维的图像空间,通过Hessian矩阵获取每一层的局部极大值,然后进行在极值点周围26个点进行NMS,从而得到粗略的特征点, ...

  8. 2万字|30张图带你领略glibc内存管理精髓(因为OOM导致了上千万损失)

    前言 大家好,我是雨乐. 5年前,在上家公司的时候,因为进程OOM造成了上千万的损失,当时用了一个月的时间来分析glibc源码,最终将问题彻底解决. 最近在逛知乎的时候,发现不少人有对malloc/f ...

  9. 深度优先搜索(DFS)

    [算法入门] 郭志伟@SYSU:raphealguo(at)qq.com 2012/05/12 1.前言 深度优先搜索(缩写DFS)有点类似广度优先搜索,也是对一个连通图进行遍历的算法.它的思想是从一 ...

  10. linux内核--内存管理(二)

    一.进程与内存     所有进程(执行的程序)都必须占用一定数量的内存,它或是用来存放从磁盘载入的程序代码,或是存放取自用户输入的数据等等.不过进程对这些内存的管理方式因内存用途不一而不尽相同,有些内 ...

随机推荐

  1. 汇编 | DosBox初步接触的一些初始化设置(窗口大小 & 默认命令)

    如何在win10 64位下搭载汇编环境请参考这篇博客:Here 学习汇编时下载了 DosBox,然而窗口小到眼睛酸痛.解决方案如下. Updata:VSC 插件使用方法,Here 1.点开配置文件 配 ...

  2. 第17场-快乐AC赛

    A - 看我,看我,我最简单了 POJ - 2387 这道题是以前记录过的最短路板子题,然而我还是脑抽用Floyd交了一发 解题报告:https://www.cnblogs.com/RioTian/p ...

  3. java生成word证明文件

    开发中遇到系统自动出常用证明的需求,例如某在校大学生要求学校开具在校证明,这类证明数量大格式统一,使用代码如何实现. 一.设置word模板 下图中红色部分就是要动态变化的. 模板存放位置 二.依赖破p ...

  4. 如何一键私有化部署 Laf ?

    太长不看:Laf 上架了 Sealos 的模板市场,通过 Laf 应用模板即可一键部署! Laf 是一个完全开源的项目,除了使用公有云之外,还有大量的用户选择私有化部署 Laf.然而,私有化部署通常伴 ...

  5. 单线程 Redis 如此快的 4 个原因

    本文翻译自国外论坛 medium,原文地址:https://levelup.gitconnected.com/4-reasons-why-single-threaded-redis-is-so-fas ...

  6. apache-jmeter-5.6.3版本报错:errorlevel=1的解决办法

    一.背景: 今天遇到了apache-jmeter-5.6.3版本,下载解决后,打开bin下的:jmeter.bat报错 二.解决方法:  尝试解决了jmeter.bat的内存占用还是没有解决 最终发现 ...

  7. java进阶(32)--Collections工具类

    一.简介:Collection与Collections区别 1.Java.until.Collection是集合接口 2.Java.until.Collections是集合工具类,方便集合的操作 二. ...

  8. 【ThreadX】Azure RTOS ThreadX概述

    Azure RTOS ThreadX是Microsoft的高级工业级实时操作系统(RTOS),专门用于深度嵌入式,实时和IoT应用程序.Azure RTOS ThreadX提供了高级计划,通信,同步, ...

  9. 小程序:Now you can provide attr `wx:key` for a `wx:for` to improve performance. 的解决方案

    在wx:for后面添加wx:key="key" 可消除警告 <view wx:for="{{thisWeekMovies}}" wx:for-index= ...

  10. [转帖]TiDB-unsafe recover(三台tikv宕机两台)

    一.背景 名称 数量 tikv 3 副本 3 1.故障: 因为某些原因,两台tikv不可连接,出现region不能访问的故障 2.几条理论: 2.1.多副本原则 存在一半以上的副本则集群访问不受影响( ...