KMP算法是一种高效的字符串匹配算法,它的核心思想是利用已经匹配成功的子串前缀的信息,避免重复匹配,从而达到提高匹配效率的目的。KMP算法的核心是构建模式串的前缀数组Next,Next数组的意义是:当模式串中的某个字符与主串中的某个字符失配时,Next数组记录了模式串中应该回退到哪个位置,以便继续匹配。Next数组的计算方法是找出模式串每一个前缀中最长的相等前缀和后缀,并记录下来它们的长度,作为Next数组中的对应值。

在字符串匹配时,KMP算法从主串和模式串的开头开始逐个字符比较,若发现匹配失败,则根据Next数组中的值进行回退,从失配位置的下一位重新开始比较。这样回退的次数比暴力匹配方式要少得多,因此匹配效率得到了大幅提升。

6.1.1 遍历输出进程内存

首先需要实现取进程PID的功能,当用户传入一个进程名称时则输出该进程的PID号,通过封装GetPidByName函数,该函数用于根据指定的进程名称,获取该进程的进程PID,以便于后续针对进程进行操作。函数参数name为指定的进程名称字符串。该函数通过调用CreateToolhelp32Snapshot函数创建一个系统快照,返回系统中所有进程的快照句柄。然后使用该快照句柄,通过进程快照函数Process32FirstProcess32Next函数逐个对比进程的名称,找到进程名称匹配的PID,返回该PID。若无法找到匹配的进程名称,则返回0。读者需要注意,当使用进程遍历功能时通常需要引入<tlhelp32.h>库作为支持;

// 根据进程名得到进程PID

DWORD GetPidByName(const char* name)

{

    HANDLE snapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);

    PROCESSENTRY32 pe32 = { sizeof(PROCESSENTRY32) };

    DWORD pid = 0;

    if (Process32First(snapshot, &pe32))

    {

        do

        {

            if (_stricmp(pe32.szExeFile, name) == 0)

            {

                pid = pe32.th32ProcessID;

                break;

            }

        } while (Process32Next(snapshot, &pe32));

    }

    CloseHandle(snapshot);

    return pid;

}

在开始使用KMP枚举特征码之前我们需要实现简单的内存读写功能,通过封装一个MemoryTraversal函数,该函数接收三个参数分别是,进程PID,进程开始内存地址,以及进程结束内存地址,该函数输出当前进程内存机器码,每次读入4096字节,然后每16个字符换一次行,遍历内存0x00401000 - 0x7FFFFFFF这篇内存区域,这段代码实现如下所示;

// 遍历并输出进程内存

VOID MemoryTraversal(DWORD PID, const DWORD beginAddr, const DWORD endAddr)

{

    const DWORD pageSize = 4096;

    // 打开并获取进程句柄

    HANDLE process = ::OpenProcess(PROCESS_ALL_ACCESS, false, PID);

    BOOL _break = FALSE;

    BYTE page[pageSize];

    DWORD tmpAddr = beginAddr;

    // 循环枚举进程

    while (tmpAddr <= endAddr)

    {

        // 每次读入内存

        ReadProcessMemory(process, (LPCVOID)tmpAddr, &page, pageSize, 0);

        // 依次循环每一个字节

        for (int x = 0; x < 4096; x++)

        {

            // 每16个字符换一行

            if (x % 15 != 0)

            {

                DWORD ch = page[x];

                if (ch >= 0 && ch <= 15)

                {

                    printf("0%x ", ch);

                }

                else

                {

                    printf("%x ", ch);

                }

            }

            else

            {

                printf(" | %x \n", tmpAddr+x);

            }

        }

        tmpAddr += pageSize;

    }

}

int main(int argc, char *argv[])

{

    // 通过进程名获取进程PID号

    DWORD Pid = GetPidByName("PlantsVsZombies.exe");

    printf("[*] 获取进程PID = %d \n", Pid);

    // 输出内存遍历0x401000-0x7FFFFFFF

    MemoryTraversal(Pid, 0x401000, 0x7FFFFFFF);

    system("pause");

    return 0;

}

读者可自行编译这段代码片段,并运行特定进程,当程序运行后即可输出PlantsVsZombies.exe进程内的机器码,并以16个字符为一个单位进行输出,其效果图如下所示;

6.1.2 使用KMP搜索特征码

为了能让读者更好的理解KMP特征码搜索的实现原理,这里笔者依然在MemoryTraversal函数基础之上进行一定的改进在本次改进中,我们增加了memcmp函数,通过使用该函数我们可以很容易的实现对特定内存区域的相同比较,读者在调用ScanMemorySignatureCode函数时需要传入,开始地址,结束地址,特征码,以及特征码长度,当找到特定内存后则返回该内存的所在位置。

// 内存特征码搜索

ULONG ScanMemorySignatureCode(DWORD Pid, DWORD beginAddr, DWORD endAddr, unsigned char *ShellCode, DWORD ShellCodeLen)

{

    unsigned char *read = new unsigned char[ShellCodeLen];

    // 打开进程

    HANDLE process = OpenProcess(PROCESS_ALL_ACCESS, false, Pid);

    // 开始搜索内存特征

    for (int x = 0; x < endAddr; x++)

    {

        DWORD addr = beginAddr + x;

        // 每次读入ShellCodeLen字节特征

        ReadProcessMemory(process, (LPVOID)addr, read, ShellCodeLen, 0);

        int a = memcmp(read, ShellCode, ShellCodeLen);

        if (a == 0)

        {

            printf("%x :", addr);

            for (int y = 0; y < ShellCodeLen; y++)

            {

                printf("%02x ", read[y]);

            }

            printf(" \n");

            return addr;

        }

    }

    return 0;

}

int main(int argc, char *argv[])

{

    // 通过进程名获取进程PID号

    DWORD Pid = GetPidByName("PlantsVsZombies.exe");

    printf("[*] 获取进程PID = %d \n", Pid);

    // 开始搜索特征码

    unsigned char ScanOpCode[3] = { 0x56, 0x57, 0x33 };

    // 依次传入开始地址,结束地址,特征码,以及特征码长度

    ULONG Address = ScanMemorySignatureCode(Pid, 0x401000, 0x7FFFFFFF, ScanOpCode, 3);

    printf("[*] 找到内存地址 = 0x%x \n", Address);

    system("pause");

    return 0;

}

上述程序运行后,将枚举当前进程0x401000-0x7FFFFFFF区域中特征码为0x56, 0x57, 0x33的内存地址,枚举到以后则输出该内存地址的位置,输出效果图如下图所示;

有了上面的模板我们只需要在此基础之上增加KMP枚举方法即可实现,如下代码则是替换具有KMP功能的搜索模式,在代码中可看出我们仅仅只是将ScanMemorySignatureCode函数内部的memcmp函数替换为了KMPSearchString函数,其他位置并没有任何变化,此处主要增加的函数有GetNextval以及KMPSearchString,这两个函数的核心思想是利用KMP算法,在主字符串中寻找子字符串时,遇到匹配失败的字符时,能够跳过一些已经比较过的字符,重复利用部分匹配的结果,提高字符串匹配的效率。将子串的每个字符失配时应该跳转的位置通过GetNextval函数计算得出,然后在KMPSearchString函数中通过这个数组进行跳转和匹配。该算法的时间复杂度为O(m+n),其中mn分别表示主串和模式串的长度。

#include <iostream>

#include <windows.h>

#include <tlhelp32.h>

using namespace std;

// 根据进程名得到进程PID

DWORD GetPidByName(const char* name)

{

    HANDLE snapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);

    PROCESSENTRY32 pe32 = { sizeof(PROCESSENTRY32) };

    DWORD pid = 0;

    if (Process32First(snapshot, &pe32))

    {

        do

        {

            if (_stricmp(pe32.szExeFile, name) == 0)

            {

                pid = pe32.th32ProcessID;

                break;

            }

        } while (Process32Next(snapshot, &pe32));

    }

    CloseHandle(snapshot);

    return pid;

}

/*

* P 为模式串,下标从 0 开始。

* nextval 数组是模式串 SubString 中每个字符失配时应该回溯的位置。

*/

void GetNextval(string SubString, int nextval[])

{

    int SubStringLen = SubString.size(); // 计算模式串的长度

    int i = 0;                           // 子串的指针

    int j = -1;                          // 前缀的指针

    nextval[0] = -1;                     // 初始化 nextval 数组,将第一个值设为 -1

    while (i < SubStringLen - 1)

    {

        if (j == -1 || SubString[i] == SubString[j]) // 如果子串和前缀相等,或 j==-1

        {

            i++; j++;                                // 子串指针和前缀指针分别加一

            if (SubString[i] != SubString[j])        // 如果下一个字符不相等

            {

                nextval[i] = j;                      // 将前缀指针 j 的值赋给 nextval 数组中的当前位置 i

            }

            else                                     // 如果下一个字符相等

            {

                nextval[i] = nextval[j];             // 已经有 nextval[j],所以将它赋给 nextval[i]

            }

        }

        else                                        // 如果子串和前缀不相等

        {

            j = nextval[j];                        // 更新前缀指针 j 的值,指向 nextval[j]

        }

    }

}

/* 在 MainString 中找到 SubString 第一次出现的位置 下标从0开始*/

int KMPSearchString(string MainString, string SubString, int next[])

{

    GetNextval(SubString, next);

    int MainStringIndex = 0;                 // 存储主字符串下标

    int SubStringIndex = 0;                  // 存储子字符串下标

    int MainStringLen = MainString.size();   // 主字符串大小

    int SubStringLen = SubString.size();     // 子字符串大小

    // 循环遍历字符串,因为末尾 '\0' 的存在,所以不会越界

    while (MainStringIndex < MainStringLen && SubStringIndex < SubStringLen)

    {

        // MainString 的第一个字符不匹配或 MainString[] == SubString[]

        if (SubStringIndex == -1 || MainString[MainStringIndex] == SubString[SubStringIndex])

        {

            MainStringIndex++; SubStringIndex++;

        }

        else   // 当字符串匹配失败则跳转

        {

            SubStringIndex = next[SubStringIndex];

        }

    }

    // 最后匹配成功直接返回位置

    if (SubStringIndex == SubStringLen)

    {

        return MainStringIndex - SubStringIndex;

    }

    return -1;

}

// 内存特征码搜索

ULONG ScanMemorySignatureCode(DWORD Pid, DWORD beginAddr, DWORD endAddr, char *ShellCode, DWORD ShellCodeLen)

{

    char *read = new char[ShellCodeLen];

    // 打开进程

    HANDLE process = OpenProcess(PROCESS_ALL_ACCESS, false, Pid);

    int next[100] = { 0 };

    // 开始搜索内存特征

    for (int x = 0; x < endAddr; x++)

    {

        DWORD addr = beginAddr + x;

        // 每次读入ShellCodeLen字节特征

        ReadProcessMemory(process, (LPVOID)addr, read, ShellCodeLen, 0);

        // 在Str字符串中找Search子串,找到后返回位置

        int ret = KMPSearchString(read, ShellCode, next);

        if (ret != -1)

        {

            return addr;

        }

    }

    return 0;

}

int main(int argc, char *argv[])

{

    // 通过进程名获取进程PID号

    DWORD Pid = GetPidByName("PlantsVsZombies.exe");

    printf("[*] 获取进程PID = %d \n", Pid);

    // 开始搜索特征码

    char ScanOpCode[3] = { 0x56, 0x57, 0x33 };

    // 依次传入开始地址,结束地址,特征码,以及特征码长度

    ULONG Address = ScanMemorySignatureCode(Pid, 0x401000, 0x7FFFFFFF, ScanOpCode, 3);

    printf("[*] 找到内存地址 = 0x%x \n", Address);

    system("pause");

    return 0;

}

编译并运行上述代码片段,读者应该能看出与暴力枚举并无任何区别,其输出效果图如下图所示;

本文作者: 王瑞

本文链接: https://www.lyshark.com/post/892aee6f.html

版权声明: 本博客所有文章除特别声明外,均采用 BY-NC-SA 许可协议。转载请注明出处!

6.1 KMP算法搜索机器码的更多相关文章

  1. 字符串匹配--kmp算法原理整理

    kmp算法原理:求出P0···Pi的最大相同前后缀长度k: 字符串匹配是计算机的基本任务之一.举例,字符串"BBC ABCDAB ABCDABCDABDE",里面是否包含另一个字符 ...

  2. 搜索模式| 系列2——KMP算法

    给定一个文本txt [0..n-1]和一个模式pat [0..m-1],写一个搜索函数search(char pat [],char txt []),在txt中打印所有出现的pat [] [].可以假 ...

  3. 数据结构与算法JavaScript (五) 串(经典KMP算法)

    KMP算法和BM算法 KMP是前缀匹配和BM后缀匹配的经典算法,看得出来前缀匹配和后缀匹配的区别就仅仅在于比较的顺序不同 前缀匹配是指:模式串和母串的比较从左到右,模式串的移动也是从 左到右 后缀匹配 ...

  4. 字符串模式匹配之KMP算法图解与 next 数组原理和实现方案

    之前说到,朴素的匹配,每趟比较,都要回溯主串的指针,费事.则 KMP 就是对朴素匹配的一种改进.正好复习一下. KMP 算法其改进思想在于: 每当一趟匹配过程中出现字符比较不相等时,不需要回溯主串的 ...

  5. BF算法与KMP算法

    BF(Brute Force)算法是普通的模式匹配算法,BF算法的思想就是将目标串S的第一个字符与模式串T的第一个字符进行匹配,若相等,则继续比较S的第二个字符和 T的第二个字符:若不相等,则比较S的 ...

  6. [Algorithm] 字符串匹配算法——KMP算法

    1 字符串匹配 字符串匹配是计算机的基本任务之一. 字符串匹配是什么?举例来说,有一个字符串"BBC ABCDAB ABCDABCDABDE",我想知道,里面是否包含另一个字符串& ...

  7. Java数据结构之字符串模式匹配算法---KMP算法

    本文主要的思路都是参考http://kb.cnblogs.com/page/176818/ 如有冒犯请告知,多谢. 一.KMP算法 KMP算法可以在O(n+m)的时间数量级上完成串的模式匹配操作,其基 ...

  8. 字符串匹配的KMP算法

    ~~~摘录 来源:阮一峰~~~ 字符串匹配是计算机的基本任务之一. 举例来说,有一个字符串”BBC ABCDAB ABCDABCDABDE”,我想知道,里面是否包含另一个字符串”ABCDABD”? 许 ...

  9. (原创)详解KMP算法

    KMP算法应该是每一本<数据结构>书都会讲的,算是知名度最高的算法之一了,但很可惜,我大二那年压根就没看懂过~~~ 之后也在很多地方也都经常看到讲解KMP算法的文章,看久了好像也知道是怎么 ...

  10. 深入理解KMP算法

    前言:本人最近在看<大话数据结构>字符串模式匹配算法的内容,但是看得很迷糊,这本书中这块的内容感觉基本是严蔚敏<数据结构>的一个翻版,此书中给出的代码实现确实非常精炼,但是个人 ...

随机推荐

  1. shell学习总结

    shell教程 第一个shell脚本 打开文本编辑器(可以使用 vi/vim 命令来创建文件), 新建一个文件 test.sh,扩展名为 sh(sh代表shell) #!/bin/bash echo ...

  2. 【python基础】循环语句-while循环

    1.初识while循环 循环语句主要的作用是在多次处理具有相同逻辑的代码时使用.while循环是Python提供的循环语句之一. while循环的语法格式之一: 比如我们输出1-10之间的奇数,编写程 ...

  3. C#.NET Framework RSA 公钥加密 私钥解密 ver:20230609

    C#.NET Framework RSA 公钥加密 私钥解密 ver:20230609 环境说明: .NET Framework 4.6 的控制台程序 . .NET Framework 对于RSA的支 ...

  4. 【Leetcode】 two sum #1 for rust solution

    给定一个整数数组 nums 和一个目标值 target,请你在该数组中找出和为目标值的那 两个 整数,并返回他们的数组下标.你可以假设每种输入只会对应一个答案.但是,数组中同一个元素不能使用两遍. 示 ...

  5. TIM-BLDC六步换相-串口中断模拟检测霍尔信号换相-软件COM事件解析

    TIM-BLDC六步换相-串口中断模拟检测霍尔信号换相-软件COM事件解析 一.COM事件解析 COM事件简介:COM事件即换相事件只用于高级定时器当中,其主要目的是用在BLDC方波的控制中,用于同时 ...

  6. Supervisor启动并管理Celery相关进程

    Supervisor启动并管理Celery相关进程 关于celery在运行过程中, 默认情况下是无法在关机以后自动重启的.所以我们一般开发中会使用supervisor进程监控来对celery程序进行运 ...

  7. SpringMVC的执行原理

    1.HandlerMapping为处理器映射,DispatcherServlet调用HandlerMapping,HandlerMapping根据请求的url查找Handler 2.HandlerEx ...

  8. 【后端面经-Java】JVM垃圾回收机制

    目录 1. Where:回收哪里的东西?--JVM内存分配 2. Which:内存对象中谁会被回收?--GC分代思想 2.1 年轻代/老年代/永久代 2.2 内存细分 3. When:什么时候回收垃圾 ...

  9. nacos适配达梦、瀚高、人大金仓数据库及部分源码探究

    一.插件实现 1.插件目录结构 2.pom依赖 <dependency> <groupId>com.alibaba.nacos</groupId> <arti ...

  10. String、StringBuffer、StringBuilder 的区别?

    一. 介绍 String.StringBuffer.StringBuilder: 前言: String.StringBuffer.StringBuilder 均在java.lang包下: String ...