内存监视+对比【成品+源码】

有可能动了某些人蛋糕，但我还是无私分享尾部有初代版的开源

成品永久免费，纯爱发电【回帖有海币】
一、整体定位与版本信息

• 
  
• 核心功能：两大运行模式 ——监视模式（Hook API 拦截内存读写）和对比模式（内存快照对比），覆盖了逆向分析中最常用的两种内存分析手段。
  

---

二、主界面（图 1）：模式选择与驱动配置
这是工具启动后的首页，决定了后续的分析方式和权限级别。

表格





[td]

区域	关键信息	作用说明
运行模式 - 监视模式（红）	NtRead / NtWrite / NtProtect + 本工具进程 ntdll 钩子	通过 Hook 系统原生 API（Nt 系列内核 API），拦截和记录目标进程的内存读写、保护修改操作，适合追踪 “谁在访问 / 修改某个内存地址”。
运行模式 - 对比模式（绿）	VirtualQueryEx + 读写内存 + 快照对比	先对目标进程内存拍 “快照”，修改程序状态后再拍一次，对比两次快照的差异，快速定位数值变化的地址（和 CE/Cheat Engine 的基础搜索逻辑一致）。
驱动设置	NinDriver.sys + 驱动读写选项	可选加载内核驱动，获得更高权限（绕过部分保护），支持不校验驱动签名（测试签名模式，需要开启 Windows 测试模式）。当前状态为未安装/不可用，仅靠用户态 API 运行。

---

三、监视模式界面（图 2、图 3）：内存读写行为拦截
进入监视模式后，工具会 Hook 相关 API，记录目标进程的内存操作。

1. 核心配置项

• 目标进程：支持通过 PID 输入、拖拽窗口、进程列表三种方式选择要分析的程序。
• 注入 Hook DLL：可选择将 Hook 注入到目标进程内，也可以在本工具进程本地 Hook（仅能记录本进程 API 调用）。
• 安装 Hook 选项：
  
  • 安装HOOK读内存/写内存/驱动读写/属性修改：选择要拦截的 API 类型（读、写、内存保护修改）。
  • 拦截读内存/写内存/属性修改：勾选后，对应的操作会被记录到下方列表中。
    
• 过滤选项：
  
  • 内存属性过滤：按内存页的权限筛选（只读、可读写、可执行等），减少无效记录。
  • 拦截模块地址/过滤动态地址/显示重复地址：进一步过滤无关模块、动态分配的地址，聚焦关键操作。
    
  
  
  

2. 输出效果
配置完成后，目标进程每次调用 ReadProcessMemory、NtWriteVirtualMemory 等 API 时，工具都会记录：

• 内存地址、读写 / 修改的数值（整数 / 文本 / 小数 / 字节集）
• 调用的模块、内存属性
• 操作类型（读 / 写 / 修改保护）
  适合用来追踪 “哪个模块在修改某个游戏数值”，分析外挂、反作弊的行为逻辑。
  

---

四、对比模式界面（图 4、图 5）：内存快照差异分析
进入对比模式后，工具会通过 “快照对比” 定位内存中变化的数据。

1. 核心流程

• 读取快照：第一步，抓取目标进程当前的内存数据，保存为 “原始状态”。
• 开始对比：修改程序状态（比如游戏里改变金币数量）后，抓取 “当前状态”，对比两次快照的差异。
  

2. 配置项

• 目标与范围：选择目标进程、内存地址的起始 / 结束范围（默认覆盖整个用户态地址空间）。
• 过滤选项：
  
  • 属性过滤：按内存权限筛选（只读、可读写、可执行等）。
  • 指定模块/过滤系统模块：只对比某个 DLL 模块内的内存，或排除系统模块减少干扰。
  • 仅变化/仅私有内存：只保留数值发生变化的地址，或只对比进程私有内存（排除共享内存）。
    
• 结果输出：对比完成后，会列出变化的地址、原始字节、当前字节、长度和属性，支持导出结果。
  

---

五、工具的典型使用场景

• 游戏逆向分析：定位游戏数值（血量、金币）的内存地址，分析数据存储逻辑。
• 软件行为分析：追踪程序的内存读写、保护修改操作，分析恶意软件、反调试程序的行为。
• 对抗反调试 / 反币：驱动模式可绕过部分用户态 Hook 检测，适合分析带保护的程序。
  
  
  游客,本付费内容需要支付 2海币 才能浏览支付
  
  

联系我时，请说是在 挂海论坛 上看到的，谢谢！