监视进程钩子扫描-内存修改扫描工具源码
可实现内存区段扫描,模块内存扫描,监视进程的内存是否被修改.图我就不截了这个东西比较邪恶.
此源码使用第三方模块 删除后把相关函数换成相对模块函数即可. tcp可以直接删了因为没有开源DLL
由于万能call寻址,和vmp跟踪的功能是c写的模拟器之类的原理,代码写的比较烂就懒得开源那一部分了.
由于写的时间太早并没有想到功能完全性,正常情况下应该是一键枚举所有模块而后解析PE得到可执行内存然后统一监视,这款需要手动勾选内存.
由于与修改者争抢启动与修改的速度使用线程全局识别值为监视启动标识.
{:撸啊撸:}{:撸啊撸:}{:撸啊撸:}{:撸啊撸:}{:撸啊撸:}{:撸啊撸:}{:撸啊撸:}{:撸啊撸:}{:撸啊撸:}{:撸啊撸:} {:curse:}{:curse:}{:curse:}{:curse:}{:curse:}{:curse:}{:curse:}{:curse:}{:curse:}{:curse:}{:curse:}{:curse:}{:curse:}{:curse:}
页:
[1]