内存对比工具!全网最好用的一款内存对比工具!
本帖最后由 小闹钟 于 2025-3-11 19:46 编辑今天是 2025-3-11 19:12:49 内存对比工具更新至V2.0版本!
内存对比工具有什么用?
答:可以对比内存哪里被修改!可以对比内存哪里被修改!可以对比内存哪里被修改!
本工具可对比某个进程内所有模块地址,内存模块地址格式:xx.dll+12345 或 xx.exe+12345(注意:非模块地址不在对比范围)
------------------------------------
【2.0版本更新内容】
1、打开进程后自动检测该进程是否存在硬件断点HOOK地址(DR0-DR3)
更新时间:2025-3-11 19:08:51
MD5:db12e92e21e77955097c51ff7c0f8d7b
------------------------------------
VirSCAN查毒报告:https://www.virscan.org/report/c ... 0875bdbea046ce5ca7f
★★由于程序本身涉及内存敏感操作,被杀毒软件误报纯属正常!请将本工具添加到信任列表即可!★★
------------------------------------
关于“过滤系统模块”功能说明:该功能要在“读取原始内存”前 → 开/关 才有效!
通常一般不需要对比系统模块,除非你想知道那些API函数是否被HOOK(这种情况才需要对比系统模块)
------------------------------------
通常使用方法有两种;偷外挂功能视频教程:https://wwtu.lanzoue.com/iRvRV2jh4ffi★★如果不会请看完视频教程★★
1、偷内存功能地址
比如偷取某外挂功能,未开启功能前“读取原始内存”,开启功能后“开始对比内存”,只要是外挂修改了内存模块地址,呵呵!他的内存功能地址就能偷出来!
过滤变动内存说明;
〓在开启外挂功能前,可以先开启“自动对比数据”将不相关的变动内存过滤掉,然后再开启外挂功能对比即可!
操作期间把游戏最小化,以便减少变动内存,不要一边对比内存一边点游戏里面触发数据,否则会有无尽的变动内存地址!
〓进程暂停法★★★★★优先建议使用此方法(如果外挂是DLL注入的话,那只能使用第一种方法了)★★★★★
操作流程:暂停/挂起目标进程 → 打开进程 → 读取原始内存 → 开启某外挂功能 → 对比内存即可!
此方法不会有任何变动地址干扰,但外挂插件只能是外部xxx.exe,如果是DLL注入游戏的话,暂停进程后外挂也会被暂停!
不同系统手动暂停方法:
以W7系统为列∶打开任务管理器 → 性能 → 资源监视器 → 选择目标进程“右键”挂起进程即可!
以W10系统为列∶打开任务管理器 → 性能 → 打开资源监视器 → 选择目标进程“右键”暂停进程即可!
以W11系统为列∶打开任务管理器 → 性能 → 点击右上角三个点 → 资源监视器 → 选择目标进程“右键”暂停进程即可!
------------------------------------
2、两个程序内存对比(共有两种方法)两个程序对比视频教程:https://wwtu.lanzoue.com/iS41H2jh4haf★★如果不会请看完视频教程★★
例如:一个是原版一个是破解版,要注意:破解版必须是在原版的“基础”上修改的,否则不同的版本或不同的程序,他们的内存地址完全不相同的!
第一种方法 → 两个静态程序的内存对比(静态是指程序还没运行起来)
打开两个OD,把原版拉进一个OD,把破解版拉进另一个OD,让两个程序处于暂停状态 (32位进程软件用OD或x32dbg ● 64位进程软件x64dbg)
然后通过打开任务管理器或其他方式 → 查看两个程序的进程ID
〓填写原版进程ID → 打开进程 → 读取原始内存
〓填写破解版进程ID → 打开进程 → 开始对比内存
这样两个“没运行起来”的程序的不同内存地址就对比出来了
注意:有的是加载到劫持补丁就修改内存了(这种的话用第一种方法就能对比出来了)
但是有的劫持补丁“程序运行起来”后才修改的,那这种只能使用第二种方法对比了!
第二种方法 → 两个程序“运行后”的内存对比
操作方法:把原版和破解版同时打开
〓填写原版进程ID → 打开进程 → 读取原始内存
〓填写破解版进程ID → 打开进程 → 开始对比内存
这种方法适合“程序运行起来”后才被修改内存地址,比如某些“劫持补丁”修改的数据!
第二种方法会多出一些自身正常变动的静态地址,一般“连续相近”的地址是自身正常变动的静态地址!
通常“不相近的地址”才有可能是反汇编代码地址,才有可能是被修改的地址!大家可以根据不同情况来进行不同操作方法!
------------------------------------
【本工具仅支持64位系统使用 ● 本工具支持32/64位程序软件】
------------------------------------
警告:请勿尝试破解本程序,否则不能保证能正常使用!
------------------------------------
蓝奏云下载地址:https://wwtu.lanzoue.com/i7RvL2qa3zxa
如在使用过程中遇到问题,或不懂的地方,或发现BUG,或有其他建议等问题,请在本贴回复反馈!谢谢!
感谢分享 本帖最后由 小闹钟 于 2025-3-12 05:47 编辑
关于两个程序对比说明:
如果每次打开程序的模块地址不是固定的话,这样不能进行两个程序对比,因为每次打开程序内存地址不一样,如果这样对比内存的话,他们之间内存地址是完全不相同的!
如果这样的话,那就自己写个进程暂停工具,在打开程序瞬间暂停进程,然后读取原始内存,恢复进程,等加载到补丁后再次暂停进程,此时再对比内存即可!
列如:PYG的补丁工具有反调试,那么我们可以先把没补丁的原程序拉进DBG暂停,然后读取原始内存,然后关闭掉DBG,然后正常打开加载补丁的程序,等加载到补丁修改内存数据后,立即暂停进程(自己写暂停进程工具),此时再填写该程序进程ID,然后打开进程,对比内存即可!这种方法只适合程序地址是固定的!
内存对比偷地址方法还有很多,大家多想想咯!{:5_121:}
刚从某论坛找到了个关闭ASLR地址随机化工具,有了他就可以让每次打开随机化地址的程序,变成入口固定的地址了,这样就非常方便我们对比内存偷取地址了!!!
关闭ASLR程序入口地址随机化工具下载:https://wwtu.lanzoue.com/i4bs92qbj7kb
,
软件都打不开 {:6_216:} 星宇咩 发表于 2025-3-11 22:07
软件都打不开
禁止在虚拟机运行哦{:5_128:} 小闹钟 发表于 2025-3-11 22:14
禁止在虚拟机运行哦
实体机 win11 24h2自己试一下吧 搞不懂搞那么多反破解软件都打不开有什么意义,做软件最重要的就是兼容 先解决兼容再搞那些东西才对 本帖最后由 小闹钟 于 2025-3-11 22:32 编辑
星宇咩 发表于 2025-3-11 22:15
实体机 win11 24h2自己试一下吧 搞不懂搞那么多反破解软件都打不开有什么意义,做软件最重要的就是兼容...
以前也有个用户出现这样情况,打开没反应,这跟系统版本没关系,可能跟系统补丁或某软件有关,最后重装一下该系统就可以了{:5_188:} 最新吧加入了网络验证{:5_116:} win10打开闪退,楼主 逗苍天 发表于 2025-3-11 23:21
win10打开闪退,楼主
重新下载,在压缩包里打开运行试试?