C/C++ 实现简易特征码扫描器

原创 已于 2023-09-14 16:21:45 修改 · 1.9w 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#c语言 #c++ #开发语言 #Visual C++ #微软技术 #特征码扫描

于 2018-05-26 22:17:00 首次发布
本文介绍了一种在Windows系统上使用C++进行特征码扫描的技术。通过扫描特定的字节序列来查找进程的基址及call指令地址,应用于逆向工程、漏洞分析等领域。

特征码扫描通常是指在二进制文件或内存中搜索特定的字节序列或代码模式,以便识别、分析或修改特定的C++结构、函数或对象。这种技术通常用于逆向工程、漏洞分析、安全研究等领域。

通过扫描可以帮助识别特定的C++函数或类,以便进行调试、修复漏洞或修改程序的行为。这些特征码可以是函数的入口点、函数的调用序列、特定的数据结构、类的成员变量等。

扫描特征码基地址

如下C++代码是用于在Windows系统上通过特征码扫描的方式来查找进程的基址。基址通常是指在进程内存中的一个固定地址,它通常用于定位和访问进程的数据结构、变量或函数等信息。

代码中的主要功能如下:

  1. 引入了必要的头文件,包括 <stdio.h>, <stdlib.h>, 和 <windows.h>

  2. 定义了一个联合体(union Base)用于处理DWORD和BYTE之间的转换,这将用于存储基址。

  3. 实现了一个名为ScanAddress的函数,用于扫描特定进程的内存以查找特定的特征码(markCode)。该函数可以指定特征码距离基址的距离、扫描方式以及是否保存偏移量。

  4. main函数中,首先查找游戏窗口,并获取到相关的进程ID。

  5. 然后使用ScanAddress函数两次,一次查找特征码在基址下面的情况,一次查找特征码在基址上面的情况,以获取人物基址。在这两次查找中,分别使用了不同的参数来控制查找的方式和距离。

  6. 最后,打印出获取到的人物基址。

#include <stdio.h>  
#include <stdlib.h>  
#include <windows.h> 

union Base
{
    DWORD   address;
    BYTE    data[4];
};

/************************************************************************/
/* 函数说明:根据特征码扫描基址
/* 参数一:process 要查找的进程
/* 参数二:markCode 特征码字符串,不能有空格
/* 参数三:特征码离基址的距离,默认距离:1
/* 参数四:findMode 扫描方式,找到特征码后,默认为:1
/*                  0:往上找基址(特征码在基址下面)
/*                  1:往下找基址(特征码在基址上面)
/* 参数五:offset 保存基址距离进程的偏移,默认为:不保存
/************************************************************************/
DWORD ScanAddress(HANDLE process, char *markCode, DWORD distinct = 1, DWORD findMode = 1, LPDWORD offset = NULL)
{
    //起始地址  
    const DWORD beginAddr = 0x00400000;
    //结束地址  
    const DWORD endAddr = 0x7FFFFFFF;
    //每次读取游戏内存数目的大小  
    const DWORD pageSize = 4096;

    ////////////////////////处理特征码/////////////////////  
    //特征码长度不能为单数  
    if (strlen(markCode) % 2 != 0) return 0;
    //特征码长度  
    int len = strlen(markCode) / 2;
    //将特征码转换成byte型  
    BYTE *m_code = new BYTE[len];
    for (int i = 0; i < len; i++){
        char c[] = { markCode[i * 2], markCode[i * 2 + 1], '\0' };
        *m_code = (BYTE)::strtol(c, NULL, 16);
    }

    /////////////////////////查找特征码/////////////////////  
    BOOL _break = FALSE;
    //用来保存在第几页中的第几个找到的特征码  
    int curPage = 0;
    int curIndex = 0;
    Base base;
    //每页读取4096个字节  
    BYTE page[pageSize];
    DWORD tmpAddr = beginAddr;
    while (tmpAddr <= endAddr - len)
    {
        ::ReadProcessMemory(process, (LPCVOID)tmpAddr, &page, pageSize, 0);

        //在该页中查找特征码  
        for (int i = 0; i < pageSize; i++)
        {
            for (int j = 0; j < len; j++)
            {

                //只要有一个与特征码对应不上则退出循环  
                if (m_code[j] != page[i + j])break;
                //找到退出所有循环  
                if (j == len - 1){
                    _break = TRUE;
                    if (!findMode)
                    {
                        curIndex = i;
                        base.data[0] = page[curIndex - distinct - 4];
                        base.data[1] = page[curIndex - distinct - 3];
                        base.data[2] = page[curIndex - distinct - 2];
                        base.data[3] = page[curIndex - distinct - 1];
                    }
                    else
                    {
                        curIndex = i + j;
                        base.data[0] = page[curIndex + distinct + 1];
                        base.data[1] = page[curIndex + distinct + 2];
                        base.data[2] = page[curIndex + distinct + 3];
                        base.data[3] = page[curIndex + distinct + 4];
                    }
                    break;
                }
            }
            if (_break) break;
        }
        if (_break) break;
        curPage++;
        tmpAddr += pageSize;
    }
    if (offset != NULL)
    {
        *offset = curPage * pageSize + curIndex + beginAddr;
    }
    return base.address;
}

int main(int argc, char* argv[])
{
    //查找游戏窗口  
    HWND hGame = ::FindWindow("DxFirst", NULL);
    if (hGame == NULL) return FALSE;

    DWORD processId;
    HANDLE process;

    // 得到PID
    ::GetWindowThreadProcessId(hGame, &processId);
    process = ::OpenProcess(PROCESS_ALL_ACCESS, false, processId);
 

    // 基址在特征码下面
    DWORD addr = ScanAddress(process, "83C404C3CCCCA1");
    printf("人物基址:%X\n", addr);

    //基址在特征码上面  
     addr = ScanAddress(process, "C3CCCCCCCCCCCCCCCCCCCC8B442404A3ECA72001", 3, 0);
    printf("人物基址:%X\n", addr);

    ::CloseHandle(process);
    return 0;
}

扫描关键CALL

如下C++代码在Windows系统上使用特征码扫描的方式来查找call指令的地址。call指令用于调用函数,通常会跳转到特定函数的入口地址。代码中的主要功能如下:

  1. 引入了必要的头文件,包括 <stdio.h>, <stdlib.h>, 和 <windows.h>

  2. 定义了一个联合体(union Base)用于处理DWORD和BYTE之间的转换,这将用于存储地址。

  3. 实现了一个名为ScanCall的函数,该函数调用了之前提到的ScanAddress函数,并在获取到的地址上进行进一步的计算。它用于查找call指令的地址。

  4. main函数中,调用ScanCall函数,传入要查找的特征码字符串。该特征码通常是call指令的机器码表示。

  5. 最后,打印出获取到的call指令的地址。

#include <stdio.h>  
#include <stdlib.h>  
#include <windows.h> 

union Base
{
    DWORD   address;
    BYTE    data[4];
};

/************************************************************************/
/* 函数说明:根据特征码扫描call地址
/* 参数一:process 要查找的进程
/* 参数二:markCode 特征码字符串,不能有空格
/* 参数三:特征码离基址的距离,默认距离:1
/* 参数四:findMode 扫描方式,找到特征码后,默认为:1
/*                  0:往上找基址
/*                  1:往下找基址
/************************************************************************/
DWORD ScanCall(HANDLE process, char *markCode,
    DWORD distinct = 1, DWORD findMode = 1)
{
    DWORD offset;
    DWORD call = ScanAddress(process, markCode, distinct, findMode, &offset);
    call += offset;
    if (findMode) call = call + 5 + distinct;
    else call = call - distinct;
    return call;
}

int main(int argc, char* argv[])
{
    DWORD call = ScanCall(process, "5557535152C6400801E8");
    printf("call基址:%X\n", call);

    ::CloseHandle(process);
    return 0;
}
C++与Halcon联合开发实现简易OCR字符识别
走向CTO的路上...
10-27 574
C++与Halcon联合开发实现简易OCR字符识别是一种强大的图像处理技术,允许识别和提取图像中的文本信息。下面是该过程的原理详细解释、底层架构流程图、使用场景解释、代码实现的一般指南。:首先,从不同的源(扫描仪、相机、图像文件等)获取图像,这些图像中包含需要进行字符识别的文本。:对图像进行预处理,包括图像灰度化、二值化、去噪等操作,以提高字符的清晰度和可分辨性。:对于识别到的文本,可能需要进行后处理操作,例如去除不必要的空格、校正错误的字符等。:提取字符的特征,例如字符的形状、大小、边缘等信息。
特征码搜索基址 c/c++源代码
01-08
游戏特征码搜索基址 c/c++源代码 有图有解释,拿来即可用 本人亲测,可用 代码来源于互联网:)
C++实现-特征码遍历
weixin_30360497的博客
05-26 1225
#include <stdio.h> #include <stdlib.h> #include <windows.h> union Base { DWORD address; BYTE data[4]; }; /********************************...
C++ 进程内存搜索,特征码极速定位,方便找Call找地址!
04-29
C++ 进程内存搜索,特征码极速定位,方便找Call 找地址!!
C++特征码查找 附加案例
O8088的博客
11-05 4902
#include <stdio.h> #include <windows.h> #include <iostream> using namespace std; //参数分别为:进程句柄、特征码、偏移、读取长度、开始扫描位地置、扫描结束位置 uintptr_t hanshu_dizhi; //记录特征码对应的地址 uintptr_t ScanAddress(HANDLE process, char *markCode, int nOffset, unsigned lon.
Sunday算法实现内存快速搜索特征码(支持带问号)
热门推荐
吾无法无天的博客
10-07 1万+
效果图: 代码: #include<Windows.h> #include<iostream> #include<vector> #include<time.h> using namespace std; #define BLOCKMAXSIZE 409600//每次读取内存的最大大小 BYTE* MemoryData;//每次将读取的...
C/C++ 面试大纲
qq_43538607的博客
05-18 1265
c/c++面试大纲
C#实现摄像头条形码扫描DEMO教程
资源摘要信息: 本资源是关于C#编程语言开发的一个摄像头条形码扫描的示例程序。该程序利用了ZBar库,这是一个广泛使用的开源库,专门用于识别和解码一维和二维码。通过结合OpenCV(开源计算机视觉库),该程序可以...
C++ 杀毒软件实现(dev c++11)
最新发布
08-12
设计一个简单的扫描器,能够遍历指定目录的文件,并检查文件中是否包含已知的病毒特征码。 3. 定义病毒特征码数据库(这里我们用一个简单的文本文件或内置数组来模拟)。 4. 实现文件读取和匹配功能。 5. 对检测...
基于D3DHOOK的CSGO简易注入器实现
现代反作弊系统不仅依赖特征码扫描,还会采用行为分析、驱动级监控、内存完整性校验等多种手段识别异常。例如,VAC可以通过检查进程是否存在未签名的DLL、关键API是否被挂钩、是否有可疑远程线程活动等方式判定是否...
C++ 特征码搜索支持问号搜索 开源
08-09
C++ 特征码搜索支持问号搜索 开源
基于C语言的漏洞扫描器
05-02
用于信息安全专业的研究者,使用C语言编写,编译通过。
特征码搜索器
03-13
自动搜索特征码找call,找偏移外挂作者必备
C++搜索内存特征码 支持模糊匹配
wtujoxk的博客
04-06 1057
【代码】C++搜索内存特征码 支持模糊匹配。
在静态库LIB/OBJ文件中搜索定位病毒特征码所属函数,C/C++源码
Liigo's blog
07-12 7415
本文目标:在指定的某个LIB或OBJ文件中,搜索定位某一段可执行代码(X86指令集合),最终确定其所属函数。基本思路:解析LIB文件二进制格式(关于LIB/OBJ基本结构,可参见本人之前的一篇博文),遍历LIB文件中的所有OBJ,遍历每一个OBJ中的所有节(Section),在节(Section)的数据块(RawData)中搜索特征码,如果搜到则打印出此节(Section)中定义的所有符号(Symbol),根据其中的函数符号及相关偏移即可判断特征码所属函数
C/C++ 实现内存特征码搜索
ink_test的博客
12-05 589
实现内存特征码扫描,此种扫描方式支持模糊匹配,可使用??代替模糊匹配数值。
c语言特征码搜索,[原创]一个速度不是很快但是逻辑很简单的内存特征码搜索
weixin_42423349的博客
05-24 1044
// ConsoleApplication8.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。// 很多头文件不需要,你自己看着用吧 我是复制我之前的#include "pch.h"#include #include #include #include #include #include #include #include #include #include #includ...
c++特征码搜索_(2020.6.9)动物之森各种分享码
weixin_32175665的博客
01-10 451
(2020.6.9)(1)这边都分享的是数字码。这个数字码怎么用?提前是你的岛上必须开了裁缝店,然后可以在裁缝店的机器里,联网来下载数字码。(必须要开通会员)(2)开裁缝店的条件:刺猬娟儿来你的岛上三次,每次都要购买东西。因此还没开店的朋友,刺猬来了赶紧跟她说话买买买!她来三次之后,就会提出开店了。然后你选好裁缝店的地址,再施工两天,店铺就开起来了。(3)建议大家直接搜索作者码进行筛选,这样比较容...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

微软技术分享

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值