自己内存搜索会比CE多搜出来几千个地址 大神有没有方....

徐达

清除数组 (搜索结果)
进程名 ＝ 组合框1.内容
关键整数 ＝ 到数值 (编辑框2.内容)
关键字 ＝ 到字节集 (关键整数)
首字节 ＝ 取字节集左边 (关键字, 1)
长度 ＝ 取字节集长度 (关键字)
进程ID ＝ 取进程ID (“Gameapp.exe”)
输出调试文本 (进程ID)
操作句柄 ＝ OpenProcess (#PROCESS_VM_READ ＋ #PROCESS_QUERY_INFORMATION, 0, 进程ID)
.如果真 (操作句柄 ＝ 0)
    信息框 (“不能打开进程 .”, #信息图标, “提示”)
    返回 ()
.如果真结束
内存块长度 ＝ 28
.判断循环首 (VirtualQueryEx (操作句柄, 内存地址, 内存块信息, 内存块长度) ≠ 0)
    .如果真 (内存块信息.Type ＝ #MEM_PRIVATE 且 内存块信息.Protect ＝ #PAGE_READWRITE)
        数据缓冲区 ＝ 取空白字节集 (内存块信息.RegionSize)
        读取结果 ＝ ReadProcessMemory (操作句柄, 内存地址, 数据缓冲区, 内存块信息.RegionSize, 0)
        .如果 (读取结果 ≠ 0)
            开始地址 ＝ 寻找字节集 (数据缓冲区, 关键字, )  ' 查找是否有要搜索的数据
            .如果 (开始地址 ≠ -1)
                加入成员 (搜索结果, 到数值 (内存地址 ＋ 开始地址 － 1))
            .否则
                ' 本源码来自易语言资源网(www.eyuyan.la)
            .如果结束
            .判断循环首 (-1 ≠ 寻找字节集 (数据缓冲区, 关键字, 开始地址 ＋ 长度))
                其他地址 ＝ 寻找字节集 (数据缓冲区, 关键字, 开始地址 ＋ 长度)
                加入成员 (搜索结果, 到数值 (内存地址 ＋ 其他地址 － 1))
                开始地址 ＝ 其他地址
            .判断循环尾 ()
        .否则
            ' 输出调试文本 (“不能读取内存块: ” ＋ 到文本 (内存地址))
        .如果结束

    .如果真结束
    内存地址 ＝ 内存地址 ＋ 内存块信息.RegionSize
.判断循环尾 ()
.计次循环首 (取数组成员数 (搜索结果), 计次)
    编辑框1.加入文本 (到文本 (搜索结果 [计次]) ＋ #换行符)
.计次循环尾 ()
CloseHandle (操作句柄)
标签1.标题 ＝ “成功获取” ＋ 到文本 (取数组成员数 (搜索结果)) ＋ “ 个数据！”



用ce搜只能搜出700多个 至10000多个用我自己的搜能搜出3000多个 甚 但是地址内的数值确实是搜索的目标 但是ce不知道为什么就能把这些地址排除掉

dnxl

搜整数，ce应该是自动对齐地址，（0 4 8 c结尾），你代码并没有做地址对齐处理，肯定会搜出不少无效地址

徐达

用ce搜只能搜出700多个 用我自己的搜能搜出3000多个 但是地址内的数值确实是搜索的目标 但是ce不知道为什么就能把这些地址排除掉

LLXXLL

徐达 发表于 2026-3-3 12:30
用ce搜只能搜出700多个 用我自己的搜能搜出3000多个 但是地址内的数值确实是搜索的目标 但是ce不知道为什么 ...

筛选内存区域搜索试试只搜索指定模块并且只搜索数据区

万象梦境

排除系统DLL模块，判断内存块属性，排除不可写属性区域，排除可执行属性内存区域，4字节对齐

ssshill

你搜索的是四字节字节集，关键字 ＝ 到字节集 (关键整数)，比如13556，到字节集是{244,52,0,0}误差比较大，而且ce应该是过滤了一些无效地址、受保护、不可读写的地址，所以你的结果会多一些。

斗战胜猴

  

子程序名	返回值类型	公开	备 注
内存_分析区段属性	文本型
参数名	类 型	参考	可空	数组	备 注
Protect	整数型

变量名	类 型	静态	数组	备 注
S	文本型

如果真 (b_Get (Protect, 1))
S ＝ S ＋ “#页_禁止访问|”
如果真 (b_Get (Protect, 2))
S ＝ S ＋ “#页_只读|”
如果真 (b_Get (Protect, 4))
S ＝ S ＋ “#页_可读写|”
如果真 (b_Get (Protect, 8))
S ＝ S ＋ “#页_写时拷贝|”
如果真 (b_Get (Protect, 16))
S ＝ S ＋ “#页_可执行|”
如果真 (b_Get (Protect, 32))
S ＝ S ＋ “#页_可执行可读|”
如果真 (b_Get (Protect, 64))
S ＝ S ＋ “#页_可执行可读可写|”
如果真 (b_Get (Protect, 128))
S ＝ S ＋ “#页_可执行写时拷贝|”
如果真 (b_Get (Protect, 256))
S ＝ S ＋ “#页_GUARD|”
如果真 (b_Get (Protect, 512))
S ＝ S ＋ “#页_NOCACHE|”
如果真 (b_Get (Protect, 1024))
S ＝ S ＋ “#页_WRITECOMBINE|”
返回 (S)

子程序名	返回值类型	公开	备 注
内存_分析页内存	文本型
参数名	类 型	参考	可空	数组	备 注
Type	整数型

变量名	类 型	静态	数组	备 注
S	文本型

判断 (b_Get (Type, 16777216))
S ＝ “#页类型_可执行16777216”
判断 (b_Get (Type, 131072))
S ＝ “#页类型_私有内存131072”
判断 (b_Get (Type, 262144))
S ＝ “#页类型_不可执行262144”
判断 (b_Get (Type, 4096))
S ＝ “#页类型_物理内存4096”


返回 (S)

子程序名	返回值类型	公开	备 注
b_Get	逻辑型
参数名	类 型	参考	可空	数组	备 注
Flags	整数型
F	整数型

置入代码 ({ 139, 69, 8, 35, 69, 12, 59, 69, 12, 15, 148, 192, 201, 194, 8, 0 })
' mov eax,[ebp+0x8]
' and eax,[ebp+0xC]
' cmp eax,[ebp+0xC]
' setz al
' leave
' ret 0x8
返回 (假)

.版本 2<br /> <br /> .子程序 内存_分析区段属性, 文本型<br /> .参数 Protect, 整数型<br /> .局部变量 S, 文本型<br /> <br /> .如果真 (b_Get (Protect, 1))<br />     S ＝ S ＋ “#页_禁止访问|”<br /> .如果真结束<br /> .如果真 (b_Get (Protect, 2))<br />     S ＝ S ＋ “#页_只读|”<br /> .如果真结束<br /> .如果真 (b_Get (Protect, 4))<br />     S ＝ S ＋ “#页_可读写|”<br /> .如果真结束<br /> .如果真 (b_Get (Protect, 8))<br />     S ＝ S ＋ “#页_写时拷贝|”<br /> .如果真结束<br /> .如果真 (b_Get (Protect, 16))<br />     S ＝ S ＋ “#页_可执行|”<br /> .如果真结束<br /> .如果真 (b_Get (Protect, 32))<br />     S ＝ S ＋ “#页_可执行可读|”<br /> .如果真结束<br /> .如果真 (b_Get (Protect, 64))<br />     S ＝ S ＋ “#页_可执行可读可写|”<br /> .如果真结束<br /> .如果真 (b_Get (Protect, 128))<br />     S ＝ S ＋ “#页_可执行写时拷贝|”<br /> .如果真结束<br /> .如果真 (b_Get (Protect, 256))<br />     S ＝ S ＋ “#页_GUARD|”<br /> .如果真结束<br /> .如果真 (b_Get (Protect, 512))<br />     S ＝ S ＋ “#页_NOCACHE|”<br /> .如果真结束<br /> .如果真 (b_Get (Protect, 1024))<br />     S ＝ S ＋ “#页_WRITECOMBINE|”<br /> .如果真结束<br /> 返回 (S)<br /> <br /> .子程序 内存_分析页内存, 文本型<br /> .参数 Type, 整数型<br /> .局部变量 S, 文本型<br /> <br /> .判断开始 (b_Get (Type, 16777216))<br />     S ＝ “#页类型_可执行16777216”<br /> .判断 (b_Get (Type, 131072))<br />     S ＝ “#页类型_私有内存131072”<br /> .判断 (b_Get (Type, 262144))<br />     S ＝ “#页类型_不可执行262144”<br /> .判断 (b_Get (Type, 4096))<br />     S ＝ “#页类型_物理内存4096”<br /> .默认<br /> <br /> .判断结束<br /> 返回 (S)<br /> <br /> .子程序 b_Get, 逻辑型<br /> .参数 Flags, 整数型<br /> .参数 F, 整数型<br /> <br /> 置入代码 ({ 139, 69, 8, 35, 69, 12, 59, 69, 12, 15, 148, 192, 201, 194, 8, 0 })<br /> ' mov eax,[ebp+0x8]<br /> ' and eax,[ebp+0xC]<br /> ' cmp eax,[ebp+0xC]<br /> ' setz al<br /> ' leave<br /> ' ret 0x8<br /> 返回 (假)

徐达

斗战胜猴 发表于 2026-3-3 15:26
[e=1].版本 2

.子程序 内存_分析区段属性, 文本型

不行还是比CE多很多 且搜出来修改反而无效果了

徐达

多出来的地址用CE加载进去 确实是搜索的数值 但是CE就是不会搜索到该地址 非常奇怪