AddrSearch 旨在对32/64位进程进行 特征定位,并根据特征类型快速准确 一键盘定位导出 大批量 偏移 ,基址 ,CALL 。
项目文档根目录有最新编译release _x64 版本,并有 某程序 已过期的 数十个特征码示例,请参考使用。
1、根据目标进程和模块进行 特征码定位 并根据相应定义类型自动计算 相关 基址 CALL 偏移 数值;
2、x86/x64 进程支持,如遇无法正常读取进程内存数据的 流氓进程,请使用相关 过驱动保护工具 保护本进程 后打开进程,如需要帮助可加入交流群;
3、模糊式特征码搜索(以 半角偶数个 ????????" 作为通配符);
4、支持define 格式和 constexpr uint64_t 格式定义;
6、特殊码列表 保存 读取;
7、相对模块 地址方式 仅 地址 函数 指针内容 三个类型 使用相对地址 ,其他 4种取值方式均不使用相对地址;
8、进程和模块名请根据要 寻找的进程名称 和模块名称填写 如wechat.exe wechatwin.dll;
1、地址: 就是搜索后的地址 加偏移修正值 。注:任何类型的偏移修正值请输入16进制;
2、函数:就是 取 CALL 0xXXXXXXXXX (CALL头地址)
3、[指针内容]_x64 取 x64指针内容,专门针对64位 取指针内容 设计 如 lea rdx,[1408A2B10] mov rax,[1408A2B10]
4、1 字节 2字节 4字节 8字节 地址内容四种类型 无需过多解释,即 地址处的值。
6、32进进程 指针内容 也使用 4字节 取值方式 如mov eax,[1408A2B10] ;
网名:geekxiao ,QQ: 274351055
x64编程交流群:775801853
如有相关BUG或改进建议请联系作者,或自行提交 push request 。
如何提取特征码,这里只做概要说明,使用工具以 CE 为例,其他工具类似,不再赘述。
1,特征提取 地址一定要定位到 数据所在低位首地址,即 工具中 偏移要 正确定位到要取的 正确地址处
2,如遇 CALL E8 后 数值,或其他 内存立即数 4字节 用通配符 ???????? 代替,其他较大的可能随版本变化的 4字节 偏移 也用 ????????" 代替。
3,如有使用不明白的地方可以加入交流群咨询。
本开源代码仅供交流使用,不针对任何特定 程序 。