本帖最后由 Nisy 于 2022-11-9 11:19 编辑
[x64dbg 特征码提取和搜索插件]
插件介绍:
BaymaxTools 是 x64dbg 调试器的一款特征码提取和搜索插件。主要功能有:
1. 可根据用户设置解析汇编指令并提取特征码;
2. 可对进程内存快速搜索特征码条目(是普通内存搜索工具速度的6~10倍);
3. 可更好的解析调试进程内存空间(效果要好于x64dbg),可按类型更方便的进行内存检索。
使用说明:
将 x32\plugins 目录下的文件复制到 x64Dbg\x32\plugins 目录。
将 x64\plugins 目录下的文件复制到 x64Dbg\x64\plugins 目录。
使用方法:
在反汇编窗口选中多行汇编,右键菜单使用 Baymax ToOls 即可复制特征码或搜索特征码。
00007FFB55651325 | 0F84 93000000 | je ntdll.7FFB556513BE |
00007FFB5565132B | CC | int3 |
00007FFB5565132C | E9 8D000000 | jmp ntdll.7FFB556513BE |
00007FFB55651331 | 48:8B4424 40 | mov rax,qword ptr ss:[rsp+40] |
00007FFB55651336 | 44:0970 68 | or dword ptr ds:[rax+68],r14d |
00007FFB5565133A | 48:8B4424 40 | mov rax,qword ptr ss:[rsp+40] |
00007FFB5565133F | 48:8B48 30 | mov rcx,qword ptr ds:[rax+30] |
00007FFB55651343 | 48:890D 4E400900 | mov qword ptr ds:[7FFB556E5398],rcx |
00007FFB5565134A | E8 D17AF9FF | call ntdll.7FFB555E8E20 |
原始的HEX指令:0F 84 93 00 00 00 CC E9 8D 00 00 00 48 8B 44 24 40 44 09 70 68 48 8B 44 24 40 48 8B 48 30 48 89 0D 4E 40 09 00 E8 D1 7A F9 FF
复制的特征码:0F 84 ?? ?? ?? ?? CC E9 ?? ?? ?? ?? 48 8B 44 24 40 44 09 70 ?? 48 8B 44 24 40 48 8B 48 ?? 48 89 0D ?? ?? ?? ?? E8 ?? ?? ?? ??
可以在设置选项中勾选需要替换的类型,一般默认选项即可满足。
若复制的特征码在当前模块不唯一,您将看到弹窗提示。
下载地址:
https://github.com/sicaril/BaymaxTools/releases // 喜欢该插件的话记得点亮星星哦
更新记录:
Baymax toOls for x64dbg v1.7 (0626)
1. 优化了搜索算法,搜索速度有明显提升
2. 支持热键唤起搜索框,默认Ctrl+Shift+S,调试状态下唤出搜索框
3. 可展示进程私有内存的列表,支持对列表所有区段搜索
4. 优化了进程内存堆、栈等私有内存的解析算法
5. 优化了 Shadow Module 的判断逻辑
6. UI和内部功能的优化调整
| 
[复制链接]
发表于 2020-3-12 18:12
|
发表于 2022-6-27 12:48
发表于 2020-3-28 21:44
