[算法开源] “靶向级”jz逆推算法 | 抛弃CE盲扫

heyi8831

666666666666666666666

asd885522mm

是有点牛逼啊

虚vs伪

感谢分享

zss5312

感谢分享

斗战胜猴

结合 进程内存特征码搜索 改编，

  

子程序名	返回值类型	公开	备 注
搜索进程内存指针汇编x32	整数型		搜索进程内存特征码模糊汇编 返回地址数量 扫描的比较深
参数名	类 型	参考	可空	数组	备 注
进程ID	整数型				进程ID
最小目标地址	整数型				最大目标地址-偏移量=最小目标地址
最大目标地址	整数型
结果数组	整数型				存放地址 结果数组
打印区段属性	逻辑型				输出 搜索到的区段属性
当前属性	整数型				虚拟页保护 当前属性 #常量当前属性说明
初始属性	整数型				初始属性
最大区域长度	整数型				区域长度 RegionSize
页类型	整数型				虚拟页类型 动态地址 131072 静态地址 16777216 页类型 私有内存131072 ，不可执行262144 ，可执行16777216
起始地址	长整数型				默认为"000000000000" #初始jz
结束地址	长整数型				默认为"0000FFFF0000"   32位Ox0000FFFF0000 64位Ox7FFFFFFF0000

变量名	类 型	静态	数组	备 注
Memory	MEMORY_BASIC_INFORMATION			内存属性.当前属性 0=未分配,不可访问=1,2=可读,读写=4,可写与拷贝=8,可运行=16,可运行与可读=32,可运行可读写=64,可运行读写拷贝=128,guard=256,非物理内存=512
Fuzzy_Code	字节集
Backup_Signature	文本型
l_Signature	字节集
Data_Buffer	字节集
Addr_Current	长整数型
Addr_Next	长整数型
Sec_Size	整数型
Temp	整数型
Num	整数型
局进程句柄	整数型
My_Sec_Size	整数型
临时结果	整数型		50000
当前地址	整数型
k	整数型

清除数组 (结果数组)
局进程句柄 ＝ 打开进程 (进程ID)  ' 取得操作句柄
' 结束地址 默认为 #0x0000FFFF0000 搜索32位
' 结束地址 可填写 #Ox7FFFFFFF0000 搜索64位
如果真 (起始地址 ≤ 0)
起始地址 ＝ 十六到十 (“000000000000”)
如果真 (结束地址 ≤ 0)
结束地址 ＝ 十六到十 (“0000FFFF0000”)
Addr_Next ＝ 起始地址
' 内存块信息.页状态 ＝ Memory.State
' 内存块信息.页类型 ＝ Memory.Type
' 内存块信息.区域地址 ＝ Memory.BaseAddress
' 内存块信息.分配地址 ＝ Memory.AllocationBase
' 内存块信息.初始属性 ＝ Memory.AllocationProtect
' 内存块信息.区域长度 ＝ Memory.RegionSize
' 内存块信息.当前属性 ＝ Memory.Protect
判断循环首 (VirtualQueryEx (局进程句柄, Addr_Next, Memory, 28) ≠ 0 且 Addr_Next ＜ 结束地址)
Addr_Current ＝ Memory.BaseAddress
Addr_Next ＝ Addr_Current ＋ Memory.RegionSize
如果真 (Memory.Protect ＝ 0 或 b_Get (Memory.Protect, 1) 或 b_Get (Memory.Protect, 256) 或 b_Get (Memory.Protect, 512) 或 b_Get (Memory.Protect, 1024))
到循环尾 ()

如果真 (是否为空 (页类型) ＝ 假)
如果真 (Memory.Type ≠ 页类型)
到循环尾 ()
如果真 (页类型 ＝ 131072)
如果真 (Memory.RegionSize ≤ 32768)
到循环尾 ()


如果真 (是否为空 (最大区域长度) ＝ 假)
如果真 (Memory.RegionSize ＞ 最大区域长度)
到循环尾 ()


如果真 (是否为空 (当前属性) ＝ 假)
如果真 (内部_属性过滤 (Memory.Protect, 当前属性))
到循环尾 ()


如果真 (是否为空 (初始属性) ＝ 假)
如果真 (内部_属性过滤 (Memory.AllocationProtect, 初始属性))
到循环尾 ()

Sec_Size ＝ Memory.RegionSize
Data_Buffer ＝ 取空白字节集 (Sec_Size ＋ 1)
ReadProcessMemory_字节集 (局进程句柄, Addr_Current, Data_Buffer, Sec_Size, My_Sec_Size)
如果 (My_Sec_Size ＝ Sec_Size)
Num ＝ Asm_加速扫描 (PtrBin (Data_Buffer), Memory.RegionSize, 最小目标地址, 最大目标地址, PtrArray (临时结果), 50000)
' 数组安全截断
如果真 (Num ＞ 50000)
Num ＝ 50000
如果真 (Num ＞ 0)
计次循环首 (Num, k)
当前地址 ＝ Addr_Current ＋ 临时结果 [k] － PtrBin (Data_Buffer)
加入成员 (结果数组, 当前地址)
计次循环尾 ()
Num ＝ 取数组成员数 (结果数组)
Temp ＝ Num － Temp
如果真 (打印区段属性 且 Temp ＞ 0)
输出调试文本 (“分配地址 ” ＋ 十到十六 (Memory.AllocationBase) ＋ “丨” ＋ “jz ” ＋ 十到十六 (Memory.BaseAddress) ＋ “丨” ＋ “区域长度 ” ＋ 十到十六 (Memory.RegionSize) ＋ “丨” ＋ “当前属性 ” ＋ 内存_分析区段属性 (Memory.Protect) ＋ 到文本 (Memory.Protect) ＋ “丨” ＋ “初始属性 ” ＋ 内存_分析区段属性 (Memory.AllocationProtect) ＋ 到文本 (Memory.AllocationProtect) ＋ “丨” ＋ “页类型 ” ＋ 到文本 (Memory.Type) ＋ “丨” ＋ “Num ” ＋ 到文本 (Temp))
Temp ＝ Num

' 输出调试文本 (“jz ” ＋ 十到十六 (Addr_Current, 真) ＋ “丨” ＋ “丨” ＋ “区域长度 ” ＋ 十到十六 (Sec_Size, 真) ＋ “丨” ＋ “丨” ＋ “初始属性 ” ＋ 内存_分析区段属性 (Memory.AllocationProtect) ＋ 到文本 (Memory.AllocationProtect) ＋ “丨” ＋ “当前属性 ” ＋ 内存_分析区段属性 (Memory.Protect) ＋ 到文本 (Memory.Protect))

处理事件 ()
判断循环尾 ()
关闭句柄 (局进程句柄)
返回 (取数组成员数 (结果数组))

.版本 2<br /> <br /> .子程序 搜索进程内存指针汇编x32, 整数型, 公开, 搜索进程内存特征码模糊汇编 返回地址数量 扫描的比较深<br /> .参数 进程ID, 整数型, , 进程ID<br /> .参数 最小目标地址, 整数型, , 最大目标地址-偏移量=最小目标地址<br /> .参数 最大目标地址, 整数型<br /> .参数 结果数组, 整数型, 参考 可空 数组, 存放地址 结果数组<br /> .参数 打印区段属性, 逻辑型, 可空, 输出 搜索到的区段属性<br /> .参数 当前属性, 整数型, 可空, 虚拟页保护 当前属性 #常量当前属性说明<br /> .参数 初始属性, 整数型, 可空, 初始属性<br /> .参数 最大区域长度, 整数型, 可空, 区域长度 RegionSize<br /> .参数 页类型, 整数型, 可空, 虚拟页类型 动态地址 131072 静态地址 16777216 页类型 私有内存131072 ，不可执行262144 ，可执行16777216<br /> .参数 起始地址, 长整数型, 可空, 默认为"000000000000" #初始jz<br /> .参数 结束地址, 长整数型, 可空, 默认为"0000FFFF0000"   32位Ox0000FFFF0000 64位Ox7FFFFFFF0000<br /> .局部变量 Memory, MEMORY_BASIC_INFORMATION, , , 内存属性.当前属性 0=未分配,不可访问=1,2=可读,读写=4,可写与拷贝=8,可运行=16,可运行与可读=32,可运行可读写=64,可运行读写拷贝=128,guard=256,非物理内存=512<br /> .局部变量 Fuzzy_Code, 字节集<br /> .局部变量 Backup_Signature, 文本型<br /> .局部变量 l_Signature, 字节集<br /> .局部变量 Data_Buffer, 字节集<br /> .局部变量 Addr_Current, 长整数型<br /> .局部变量 Addr_Next, 长整数型<br /> .局部变量 Sec_Size, 整数型<br /> .局部变量 Temp, 整数型<br /> .局部变量 Num, 整数型<br /> .局部变量 局进程句柄, 整数型<br /> .局部变量 My_Sec_Size, 整数型<br /> .局部变量 临时结果, 整数型, , "50000"<br /> .局部变量 当前地址, 整数型<br /> .局部变量 k, 整数型<br /> <br /> 清除数组 (结果数组)<br /> <br /> 局进程句柄 ＝ 打开进程 (进程ID)  ' 取得操作句柄<br /> <br /> ' 结束地址 默认为 #0x0000FFFF0000 搜索32位<br /> ' 结束地址 可填写 #Ox7FFFFFFF0000 搜索64位<br /> <br /> .如果真 (起始地址 ≤ 0)<br />     起始地址 ＝ 十六到十 (“000000000000”)<br /> .如果真结束<br /> .如果真 (结束地址 ≤ 0)<br />     结束地址 ＝ 十六到十 (“0000FFFF0000”)<br /> .如果真结束<br /> Addr_Next ＝ 起始地址<br /> ' 内存块信息.页状态 ＝ Memory.State<br /> ' 内存块信息.页类型 ＝ Memory.Type<br /> ' 内存块信息.区域地址 ＝ Memory.BaseAddress<br /> ' 内存块信息.分配地址 ＝ Memory.AllocationBase<br /> ' 内存块信息.初始属性 ＝ Memory.AllocationProtect<br /> ' 内存块信息.区域长度 ＝ Memory.RegionSize<br /> ' 内存块信息.当前属性 ＝ Memory.Protect<br /> <br /> .判断循环首 (VirtualQueryEx (局进程句柄, Addr_Next, Memory, 28) ≠ 0 且 Addr_Next ＜ 结束地址)<br />     Addr_Current ＝ Memory.BaseAddress<br />     Addr_Next ＝ Addr_Current ＋ Memory.RegionSize<br />     .如果真 (Memory.Protect ＝ 0 或 b_Get (Memory.Protect, 1) 或 b_Get (Memory.Protect, 256) 或 b_Get (Memory.Protect, 512) 或 b_Get (Memory.Protect, 1024))<br />         到循环尾 ()<br />     .如果真结束<br /> <br />     .如果真 (是否为空 (页类型) ＝ 假)<br />         .如果真 (Memory.Type ≠ 页类型)<br />             到循环尾 ()<br />         .如果真结束<br />         .如果真 (页类型 ＝ 131072)<br />             .如果真 (Memory.RegionSize ≤ 32768)<br />                 到循环尾 ()<br />             .如果真结束<br /> <br />         .如果真结束<br /> <br />     .如果真结束<br />     .如果真 (是否为空 (最大区域长度) ＝ 假)<br />         .如果真 (Memory.RegionSize ＞ 最大区域长度)<br />             到循环尾 ()<br />         .如果真结束<br /> <br />     .如果真结束<br /> <br />     .如果真 (是否为空 (当前属性) ＝ 假)<br />         .如果真 (内部_属性过滤 (Memory.Protect, 当前属性))<br />             到循环尾 ()<br />         .如果真结束<br /> <br />     .如果真结束<br /> <br />     .如果真 (是否为空 (初始属性) ＝ 假)<br />         .如果真 (内部_属性过滤 (Memory.AllocationProtect, 初始属性))<br />             到循环尾 ()<br />         .如果真结束<br /> <br />     .如果真结束<br />     Sec_Size ＝ Memory.RegionSize<br />     Data_Buffer ＝ 取空白字节集 (Sec_Size ＋ 1)<br />     ReadProcessMemory_字节集 (局进程句柄, Addr_Current, Data_Buffer, Sec_Size, My_Sec_Size)<br />     .如果 (My_Sec_Size ＝ Sec_Size)<br />         Num ＝ Asm_加速扫描 (PtrBin (Data_Buffer), Memory.RegionSize, 最小目标地址, 最大目标地址, PtrArray (临时结果), 50000)<br />         ' 数组安全截断<br />         .如果真 (Num ＞ 50000)<br />             Num ＝ 50000<br />         .如果真结束<br />         .如果真 (Num ＞ 0)<br />             .计次循环首 (Num, k)<br />                 当前地址 ＝ Addr_Current ＋ 临时结果 [k] － PtrBin (Data_Buffer)<br />                 加入成员 (结果数组, 当前地址)<br />             .计次循环尾 ()<br />         .如果真结束<br />         Num ＝ 取数组成员数 (结果数组)<br />         Temp ＝ Num － Temp<br />         .如果真 (打印区段属性 且 Temp ＞ 0)<br />             输出调试文本 (“分配地址 ” ＋ 十到十六 (Memory.AllocationBase) ＋ “丨” ＋ “jz ” ＋ 十到十六 (Memory.BaseAddress) ＋ “丨” ＋ “区域长度 ” ＋ 十到十六 (Memory.RegionSize) ＋ “丨” ＋ “当前属性 ” ＋ 内存_分析区段属性 (Memory.Protect) ＋ 到文本 (Memory.Protect) ＋ “丨” ＋ “初始属性 ” ＋ 内存_分析区段属性 (Memory.AllocationProtect) ＋ 到文本 (Memory.AllocationProtect) ＋ “丨” ＋ “页类型 ” ＋ 到文本 (Memory.Type) ＋ “丨” ＋ “Num ” ＋ 到文本 (Temp))<br />         .如果真结束<br />         Temp ＝ Num<br /> <br />     .否则<br />         ' 输出调试文本 (“jz ” ＋ 十到十六 (Addr_Current, 真) ＋ “丨” ＋ “丨” ＋ “区域长度 ” ＋ 十到十六 (Sec_Size, 真) ＋ “丨” ＋ “丨” ＋ “初始属性 ” ＋ 内存_分析区段属性 (Memory.AllocationProtect) ＋ 到文本 (Memory.AllocationProtect) ＋ “丨” ＋ “当前属性 ” ＋ 内存_分析区段属性 (Memory.Protect) ＋ 到文本 (Memory.Protect))<br />     .如果结束<br /> <br />     处理事件 ()<br /> .判断循环尾 ()<br /> 关闭句柄 (局进程句柄)<br /> 返回 (取数组成员数 (结果数组))

qiji0313

6666666666666666

hezeyu

感谢分享！！！！！！！！！！！

liuqiqi87

支持一下啊

落雪无尘

支持一下啊

恶魔天尊

开源精神，既是利他，也是为了相互促进。