[求助]用什么方法能像CE那样高效地搜索进程内存？-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (5)
纯情小生雪币： 736 活跃值： (116) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 39 粉丝 0 关注私信	纯情小生 2 楼可以去下CE的代码看看嘛～～ 2016-1-11 16:40 0
hnllhuihui 雪币： 67 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 127 粉丝 0 关注私信	hnllhuihui 3 楼同问，Delphi代码看着累... 2016-1-11 19:42 0
星耀浮沉雪币： 995 活跃值： (674) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 154 粉丝 1 关注私信	星耀浮沉 4 楼以前写的 void FindMemory(DWORD pid) { MEMORY_BASIC_INFORMATION mbi; DWORD memoryAddress = 0; BYTE dataBuffer = NULL; BOOL readReturn = 0; HANDLE pHandle=OpenProcess(PROCESS_ALL_ACCESS, 0, pid); while (VirtualQueryEx(pHandle, (LPVOID)memoryAddress, &mbi, sizeof(mbi))) { if (mbi.Type == MEM_PRIVATE && mbi.Protect != PAGE_EXECUTE && mbi.Protect != PAGE_NOACCESS && mbi.Protect != 128) { dataBuffer = (BYTE)malloc(mbi.RegionSize); readReturn=ReadProcessMemory(pHandle, (LPVOID)memoryAddress, dataBuffer, mbi.RegionSize, 0); if (readReturn != 0) { //在dataBuffer寻找字节集返回找到位置+memoryAddress=实际地址 for (int i = 0; i < mbi.RegionSize; i++) { //寻找自定义字节自己写把 if (dataBuffer[i] == 144 && dataBuffer[i+1] == 108) { cout <<"找到"<< hex << memoryAddress+i << endl; } } } } memoryAddress = memoryAddress + mbi.RegionSize; } CloseHandle(pHandle); } 2016-1-11 20:56 0
linziqingl 雪币： 267 活跃值： (438) 能力值： ( LV9，RANK：190 ) 在线值：发帖 54 回帖 339 粉丝 6 关注私信	linziqingl 4 5 楼你不是说了：1.可执行内存属性 2.非PE映像的内存。这两点已经把可以搜索的范围缩得很小了，再配上机器码特征 2016-1-11 21:56 0
myqqi 雪币： 324 活跃值： (60) 能力值： ( LV4，RANK：50 ) 在线值：发帖 29 回帖 161 粉丝 4 关注私信	myqqi 1 6 楼赞一个思路 2016-1-12 08:14 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (5)
纯情小生雪币： 736 活跃值： (116) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 39 粉丝 0 关注私信	纯情小生 2 楼可以去下CE的代码看看嘛～～ 2016-1-11 16:40 0
hnllhuihui 雪币： 67 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 127 粉丝 0 关注私信	hnllhuihui 3 楼同问，Delphi代码看着累... 2016-1-11 19:42 0
星耀浮沉雪币： 995 活跃值： (674) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 154 粉丝 1 关注私信	星耀浮沉 4 楼以前写的 void FindMemory(DWORD pid) { MEMORY_BASIC_INFORMATION mbi; DWORD memoryAddress = 0; BYTE dataBuffer = NULL; BOOL readReturn = 0; HANDLE pHandle=OpenProcess(PROCESS_ALL_ACCESS, 0, pid); while (VirtualQueryEx(pHandle, (LPVOID)memoryAddress, &mbi, sizeof(mbi))) { if (mbi.Type == MEM_PRIVATE && mbi.Protect != PAGE_EXECUTE && mbi.Protect != PAGE_NOACCESS && mbi.Protect != 128) { dataBuffer = (BYTE)malloc(mbi.RegionSize); readReturn=ReadProcessMemory(pHandle, (LPVOID)memoryAddress, dataBuffer, mbi.RegionSize, 0); if (readReturn != 0) { //在dataBuffer寻找字节集返回找到位置+memoryAddress=实际地址 for (int i = 0; i < mbi.RegionSize; i++) { //寻找自定义字节自己写把 if (dataBuffer[i] == 144 && dataBuffer[i+1] == 108) { cout <<"找到"<< hex << memoryAddress+i << endl; } } } } memoryAddress = memoryAddress + mbi.RegionSize; } CloseHandle(pHandle); } 2016-1-11 20:56 0
linziqingl 雪币： 267 活跃值： (438) 能力值： ( LV9，RANK：190 ) 在线值：发帖 54 回帖 339 粉丝 6 关注私信	linziqingl 4 5 楼你不是说了：1.可执行内存属性 2.非PE映像的内存。这两点已经把可以搜索的范围缩得很小了，再配上机器码特征 2016-1-11 21:56 0
myqqi 雪币： 324 活跃值： (60) 能力值： ( LV4，RANK：50 ) 在线值：发帖 29 回帖 161 粉丝 4 关注私信	myqqi 1 6 楼赞一个思路 2016-1-12 08:14 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复