内存对比工具！全网最好用的一款内存对比工具！

今天是 2025-3-11 19:12:49 内存对比工具更新至V2.0版本！

内存对比工具有什么用？

答：可以对比内存哪里被修改！可以对比内存哪里被修改！可以对比内存哪里被修改！

本工具可对比某个进程内所有模块地址，内存模块地址格式：xx.dll+12345 或 xx.exe+12345（注意：非模块地址不在对比范围）

------------------------------------


【2.0版本更新内容】

1、打开进程后自动检测该进程是否存在硬件断点HOOK地址（DR0-DR3）

更新时间：2025-3-11 19:08:51

MD5：db12e92e21e77955097c51ff7c0f8d7b

------------------------------------

VirSCAN查毒报告：https://www.virscan.org/report/c ... 0875bdbea046ce5ca7f

★★由于程序本身涉及内存敏感操作，被杀毒软件误报纯属正常！请将本工具添加到信任列表即可！★★

------------------------------------

关于“过滤系统模块”功能说明：该功能要在“读取原始内存”前 → 开/关 才有效！

通常一般不需要对比系统模块，除非你想知道那些API函数是否被HOOK（这种情况才需要对比系统模块）

------------------------------------

通常使用方法有两种；  偷外挂功能视频教程：https://wwtu.lanzoue.com/iRvRV2jh4ffi  ★★如果不会请看完视频教程★★

1、偷内存功能地址   

比如偷取某外挂功能，未开启功能前“读取原始内存”，开启功能后“开始对比内存”，只要是外挂修改了内存模块地址，呵呵！他的内存功能地址就能偷出来！

过滤变动内存说明；


[1]  〓  在开启外挂功能前，可以先开启“自动对比数据”将不相关的变动内存过滤掉，然后再开启外挂功能对比即可！


操作期间把游戏最小化，以便减少变动内存，不要一边对比内存一边点游戏里面触发数据，否则会有无尽的变动内存地址！



[2]  〓  进程暂停法  ★★★★★优先建议使用此方法（如果外挂是DLL注入的话，那只能使用第一种方法了）★★★★★


操作流程：暂停/挂起目标进程 → 打开进程 → 读取原始内存 → 开启某外挂功能 → 对比内存即可！


此方法不会有任何变动地址干扰，但外挂插件只能是外部xxx.exe，如果是DLL注入游戏的话，暂停进程后外挂也会被暂停！


不同系统手动暂停方法：


以W7系统为列∶打开任务管理器 → 性能 → 资源监视器 → 选择目标进程“右键”挂起进程即可！


以W10系统为列∶打开任务管理器 → 性能 → 打开资源监视器 → 选择目标进程“右键”暂停进程即可！


以W11系统为列∶打开任务管理器 → 性能 → 点击右上角三个点 → 资源监视器 → 选择目标进程“右键”暂停进程即可！

------------------------------------

2、两个程序内存对比（共有两种方法）  两个程序对比视频教程：https://wwtu.lanzoue.com/iS41H2jh4haf  ★★如果不会请看完视频教程★★


例如：一个是原版一个是破解版，要注意：破解版必须是在原版的“基础”上修改的，否则不同的版本或不同的程序，他们的内存地址完全不相同的！


第一种方法 → 两个静态程序的内存对比（静态是指程序还没运行起来）


打开两个OD，把原版拉进一个OD，把破解版拉进另一个OD，让两个程序处于暂停状态 (32位进程软件用OD或x32dbg ● 64位进程软件x64dbg)


然后通过打开任务管理器或其他方式 → 查看两个程序的进程ID


[1]  〓  填写原版进程ID → 打开进程 → 读取原始内存


[2]  〓  填写破解版进程ID → 打开进程 → 开始对比内存


这样两个“没运行起来”的程序的不同内存地址就对比出来了


注意：有的是加载到劫持补丁就修改内存了（这种的话用第一种方法就能对比出来了）


但是有的劫持补丁“程序运行起来”后才修改的，那这种只能使用第二种方法对比了！



第二种方法 → 两个程序“运行后”的内存对比


操作方法：把原版和破解版同时打开


[1]  〓  填写原版进程ID → 打开进程 → 读取原始内存


[2]  〓  填写破解版进程ID → 打开进程 → 开始对比内存


这种方法适合“程序运行起来”后才被修改内存地址，比如某些“劫持补丁”修改的数据！


第二种方法会多出一些自身正常变动的静态地址，一般“连续相近”的地址是自身正常变动的静态地址！


通常“不相近的地址”才有可能是反汇编代码地址，才有可能是被修改的地址！大家可以根据不同情况来进行不同操作方法！

------------------------------------

【本工具仅支持64位系统使用 ● 本工具支持32/64位程序软件】

------------------------------------

警告：请勿尝试破解本程序，否则不能保证能正常使用！

------------------------------------

蓝奏云下载地址：https://wwtu.lanzoue.com/i7RvL2qa3zxa


如在使用过程中遇到问题，或不懂的地方，或发现BUG，或有其他建议等问题，请在本贴回复反馈！谢谢！

感谢分享

关于两个程序对比说明：

如果每次打开程序的模块地址不是固定的话，这样不能进行两个程序对比，因为每次打开程序内存地址不一样，如果这样对比内存的话，他们之间内存地址是完全不相同的！

如果这样的话，那就自己写个进程暂停工具，在打开程序瞬间暂停进程，然后读取原始内存，恢复进程，等加载到补丁后再次暂停进程，此时再对比内存即可！

列如：PYG的补丁工具有反调试，那么我们可以先把没补丁的原程序拉进DBG暂停，然后读取原始内存，然后关闭掉DBG，然后正常打开加载补丁的程序，等加载到补丁修改内存数据后，立即暂停进程（自己写暂停进程工具），此时再填写该程序进程ID，然后打开进程，对比内存即可！这种方法只适合程序地址是固定的！
内存对比偷地址方法还有很多，大家多想想咯！



刚从某论坛找到了个关闭ASLR地址随机化工具，有了他就可以让每次打开随机化地址的程序，变成入口固定的地址了，这样就非常方便我们对比内存偷取地址了！！！


关闭ASLR程序入口地址随机化工具下载：https://wwtu.lanzoue.com/i4bs92qbj7kb


，

软件都打不开

星宇咩 发表于 2025-3-11 22:07
软件都打不开

禁止在虚拟机运行哦

小闹钟 发表于 2025-3-11 22:14
禁止在虚拟机运行哦

实体机 win11 24h2自己试一下吧 搞不懂搞那么多反破解软件都打不开有什么意义，做软件最重要的就是兼容 先解决兼容再搞那些东西才对

星宇咩 发表于 2025-3-11 22:15
实体机 win11 24h2自己试一下吧 搞不懂搞那么多反破解软件都打不开有什么意义，做软件最重要的就是兼容  ...

以前也有个用户出现这样情况，打开没反应，这跟系统版本没关系，可能跟系统补丁或某软件有关，最后重装一下该系统就可以了

最新吧加入了网络验证

win10打开闪退，楼主

逗苍天 发表于 2025-3-11 23:21
win10打开闪退，楼主

重新下载，在压缩包里打开运行试试？