[CODIGO FUENTE] Simple C# Pattern Scan

  • Hola Invitado, hemos creado un grupo de telegram para GamerzHacking Latino, para mas informacion ingresa al siguiente enlace AQUI


226
Me Gusta
83
Temas

c0de

MOV EAX, EDX
Registrado
19 Abr 2020
Temas
83
Mensajes
183
Ubicación
Localhost
Mejores respuestas
0
Esta función de escaneo de firma C # acepta comodines y fue realizada por Traxin . Debería ser relativamente fácil de usar para los novatos.

C#:
public bool CheckPattern(string pattern, byte[] array2check)
{
    int len = array2check.Length;
    string[] strBytes = pattern.Split(' ');
    int x = 0;
    foreach(byte b in array2check)
    {
        if(strBytes[x] == "?" || strBytes[x] == "??")
        {
            x++;
        }
        else if(byte.Parse(strBytes[x], NumberStyles.HexNumber) == b)
        {
            x++;
        }
        else
        {
            return false;
        }
    }
    return true;
}

public IntPtr PatternScanMod(ProcessModule pMod, string pattern)
{
    IntPtr baseAddy = pMod.BaseAddress;
    uint dwSize = (uint)pMod.ModuleMemorySize;
    int br;
    OpenHandle();
    byte[] memDump = Read(baseAddy, dwSize, out br);
    CloseHandle();
    string[] pBytes = pattern.Split(' ');
    try
    {
        for (int y = 0; y < memDump.Length; y++)
        {
            if (memDump[y] == byte.Parse(pBytes[0], NumberStyles.HexNumber))
            {
                byte[] checkArray = new byte[pBytes.Length];
                for (int x = 0; x < pBytes.Length; x++)
                {
                    checkArray[x] = memDump[y + x];
                }
                if(CheckPattern(pattern, checkArray))
                {
                    return baseAddy + y;
                }
                else
                {
                    y += pBytes.Length - (pBytes.Length / 2);
                }
            }
        }
    }
    catch (Exception)
    {
        return IntPtr.Zero;
    }
    return IntPtr.Zero;
}

InfBreath = Mem.PatternScanMod(Mem.ReadProcess.MainModule, "f3 0f 11 86 ? ? ? ? 76 1d f3 0f 5e c1 f3 0f 11 45 08");

Creditos
Rake
Traxin