内存监视+对比1.1源码+成品【搬运】

q289512243 · 发表于前天 10:15

上面界面截图为开源源码
下面图片为成品

有可能动了某些人蛋糕，但我还是无私分享尾部有初代版的开源

成品永久免费，纯爱发电【回帖有币】
一、整体定位与版本信息

二、主界面（图 1）：模式选择与驱动配置
这是工具启动后的首页，决定了后续的分析方式和权限级别。

表格

区域

关键信息

作用说明

运行模式 - 监视模式（红）

NtRead / NtWrite / NtProtect + 本工具进程 ntdll 钩子

通过 Hook 系统原生 API（Nt 系列内核 API），拦截和记录目标进程的内存读写、保护修改操作，适合追踪 “谁在访问 / 修改某个内存地址”。

运行模式 - 对比模式（绿）

VirtualQueryEx + 读写内存 + 快照对比

先对目标进程内存拍 “快照”，修改程序状态后再拍一次，对比两次快照的差异，快速定位数值变化的地址（和 CE/Cheat Engine 的基础搜索逻辑一致）。

驱动设置

NinDriver.sys + 驱动读写选项

可选加载内核驱动，获得更高权限（绕过部分保护），支持不校验驱动签名（测试签名模式，需要开启 Windows 测试模式）。当前状态为未安装/不可用，仅靠用户态 API 运行。

三、监视模式界面（图 2、图 3）：内存读写行为拦截
进入监视模式后，工具会 Hook 相关 API，记录目标进程的内存操作。

1. 核心配置项

目标进程：支持通过 PID 输入、拖拽窗口、进程列表三种方式选择要分析的程序。
注入 Hook DLL：可选择将 Hook 注入到目标进程内，也可以在本工具进程本地 Hook（仅能记录本进程 API 调用）。
安装 Hook 选项：
- 安装HOOK读内存/写内存/驱动读写/属性修改：选择要拦截的 API 类型（读、写、内存保护修改）。
- 拦截读内存/写内存/属性修改：勾选后，对应的操作会被记录到下方列表中。
过滤选项：
- 内存属性过滤：按内存页的权限筛选（只读、可读写、可执行等），减少无效记录。
- 拦截模块地址/过滤动态地址/显示重复地址：进一步过滤无关模块、动态分配的地址，聚焦关键操作。

2. 输出效果
配置完成后，目标进程每次调用 ReadProcessMemory、NtWriteVirtualMemory 等 API 时，工具都会记录：

四、对比模式界面（图 4、图 5）：内存快照差异分析
进入对比模式后，工具会通过 “快照对比” 定位内存中变化的数据。

1. 核心流程

2. 配置项

目标与范围：选择目标进程、内存地址的起始 / 结束范围（默认覆盖整个用户态地址空间）。
过滤选项：
- 属性过滤：按内存权限筛选（只读、可读写、可执行等）。
- 指定模块/过滤系统模块：只对比某个 DLL 模块内的内存，或排除系统模块减少干扰。
- 仅变化/仅私有内存：只保留数值发生变化的地址，或只对比进程私有内存（排除共享内存）。
结果输出：对比完成后，会列出变化的地址、原始字节、当前字节、长度和属性，支持导出结果。