内存对比工具!全网最好用的一款内存对比工具!
本帖最后由 伤心的闹钟 于 2025-3-11 19:46 编辑今天是 2025-3-11 17:50:14内存对比工具更新至V2.0版本!
内存对比工具有什么用?
答:可以对比内存哪里被修改!可以对比内存哪里被修改!可以对比内存哪里被修改!
本工具可对比某个进程内所有模块地址,内存模块地址格式:xx.dll+12345 或 xx.exe+12345(注意:非模块地址不在对比范围)
------------------------------------
【2.0版本更新内容】
1、打开进程后自动检测该进程是否存在硬件断点HOOK地址(DR0-DR3)
更新时间:2025-3-11 17:34:29
MD5:7c3873d03d3bf9605ac3763ad8632fd0
------------------------------------
VirSCAN查毒报告:https://www.virscan.org/report/c1775131660f77331a774f9ba2ee24e8d9f485673fa8211aebedbd5248f5b69d
★★由于程序本身涉及内存敏感操作,被杀毒软件误报纯属正常!请将本工具添加到信任列表即可!★★
------------------------------------
关于“过滤系统模块”功能说明:该功能要在“读取原始内存”前 → 开/关 才有效!
通常一般不需要对比系统模块,除非你想知道那些API函数是否被HOOK(这种情况才需要对比系统模块)
------------------------------------
通常使用方法有两种;偷外挂功能视频教程:https://wwtu.lanzoue.com/iRvRV2jh4ffi★★如果不会请看完视频教程★★
1、偷内存功能地址
比如偷取某外挂功能,未开启功能前“读取原始内存”,开启功能后“开始对比内存”,只要是外挂修改了内存模块地址,呵呵!他的内存功能地址就能偷出来!
过滤变动内存说明;
〓在开启外挂功能前,可以先开启“自动对比数据”将不相关的变动内存过滤掉,然后再开启外挂功能对比即可!
操作期间把游戏最小化,以便减少变动内存,不要一边对比内存一边点游戏里面触发数据,否则会有无尽的变动内存地址!
〓进程暂停法★★★★★优先建议使用此方法(如果外挂是DLL注入的话,那只能使用第一种方法了)★★★★★
操作流程:暂停/挂起目标进程 → 打开进程 → 读取原始内存 → 开启某外挂功能 → 对比内存即可!
此方法不会有任何变动地址干扰,但外挂插件只能是外部xxx.exe,如果是DLL注入游戏的话,暂停进程后外挂也会被暂停!
不同系统手动暂停方法:
以W7系统为列∶打开任务管理器 → 性能 → 资源监视器 → 选择目标进程“右键”挂起进程即可!
以W10系统为列∶打开任务管理器 → 性能 → 打开资源监视器 → 选择目标进程“右键”暂停进程即可!
以W11系统为列∶打开任务管理器 → 性能 → 点击右上角三个点 → 资源监视器 → 选择目标进程“右键”暂停进程即可!
------------------------------------
2、两个程序内存对比(共有两种方法)两个程序对比视频教程:https://wwtu.lanzoue.com/iS41H2jh4haf★★如果不会请看完视频教程★★
例如:一个是原版一个是破解版,要注意:破解版必须是在原版的“基础”上修改的,否则不同的版本或不同的程序,他们的内存地址完全不相同的!
第一种方法 → 两个静态程序的内存对比(静态是指程序还没运行起来)
打开两个OD,把原版拉进一个OD,把破解版拉进另一个OD,让两个程序处于暂停状态 (32位进程软件用OD或x32dbg ● 64位进程软件x64dbg)
然后通过打开任务管理器或其他方式 → 查看两个程序的进程ID
〓填写原版进程ID → 打开进程 → 读取原始内存
〓填写破解版进程ID → 打开进程 → 开始对比内存
这样两个“没运行起来”的程序的不同内存地址就对比出来了
注意:有的是加载到劫持补丁就修改内存了(这种的话用第一种方法就能对比出来了)
但是有的劫持补丁“程序运行起来”后才修改的,那这种只能使用第二种方法对比了!
第二种方法 → 两个程序“运行后”的内存对比
操作方法:把原版和破解版同时打开
〓填写原版进程ID → 打开进程 → 读取原始内存
〓填写破解版进程ID → 打开进程 → 开始对比内存
这种方法适合“程序运行起来”后才被修改内存地址,比如某些“劫持补丁”修改的数据!
第二种方法会多出一些自身正常变动的静态地址,一般“连续相近”的地址是自身正常变动的静态地址!
通常“不相近的地址”才有可能是反汇编代码地址,才有可能是被修改的地址!大家可以根据不同情况来进行不同操作方法!
------------------------------------
【本工具仅支持64位系统使用 ● 本工具支持32/64位程序软件】
------------------------------------
警告:请勿尝试破解本程序,否则不能保证能正常使用!
------------------------------------
蓝奏云下载地址:https://wwtu.lanzoue.com/imEcu2q9z7kf
限时免费体验~~~~!!!!
补充内容 (2025-3-22 19:31):
新的蓝奏云下载地址:https://wwtu.lanzoue.com/ivv0S2r3p8yf
补充内容 (2025-4-4 23:39):
最新蓝奏云下载地址:https://wwtu.lanzoue.com/iOG3a2spjj7g
补充内容 (2025-4-9 10:46):
最新蓝奏云下载地址:https://wwtu.lanzoue.com/iD0fo2syrvpi
补充内容 (2025-4-16 05:11):
最新蓝奏云下载地址:https://wwtu.lanzoue.com/inm6R2toat7c 如有需要请加作者QQ1500733325
刚从某论坛找到了个关闭ASLR地址随机化工具,有了他就可以让每次打开随机化地址的程序,变成入口固定的地址了,这样就非常方便我们对比内存偷取地址了!!!
关闭ASLR程序入口地址随机化工具下载:https://wwtu.lanzoue.com/i4bs92qbj7kb 关于两个程序对比说明:
如果每次打开程序的模块地址不是固定的话,这样不能进行两个程序对比,因为每次打开程序内存地址不一样,如果这样对比内存的话,他们之间内存地址是完全不相同的!
如果这样的话,那就自己写个进程暂停工具,在打开程序瞬间暂停进程,然后读取原始内存,恢复进程,等加载到补丁后再次暂停进程,此时再对比内存即可!
列如:PYG的补丁工具有反调试,那么我们可以先把没补丁的原程序拉进DBG暂停,然后读取原始内存,然后关闭掉DBG,然后正常打开加载补丁的程序,等加载到补丁修改内存数据后,立即暂停进程(自己写暂停进程工具),此时再填写该程序进程ID,然后打开进程,对比内存即可!这种方法只适合程序地址是固定的!
方法很多,大家多想想咯{:tongue:}
页:
[1]