[CODIGO FUENTE] Simple C# Pattern Scan

  • Hola Invitado, si deseas saber que es lo que paso con nuestro servidor de discord, puedes ingresar al siguiente enlace Discord


194
Me Gusta
68
Temas

c0de

MOV EAX, EDX
Registrado
19 Abr 2020
Mensajes
125
Ubicación
Localhost
Mejores respuestas
0
LV
0
 
Esta función de escaneo de firma C # acepta comodines y fue realizada por Traxin . Debería ser relativamente fácil de usar para los novatos.

C#:
public bool CheckPattern(string pattern, byte[] array2check)
{
    int len = array2check.Length;
    string[] strBytes = pattern.Split(' ');
    int x = 0;
    foreach(byte b in array2check)
    {
        if(strBytes[x] == "?" || strBytes[x] == "??")
        {
            x++;
        }
        else if(byte.Parse(strBytes[x], NumberStyles.HexNumber) == b)
        {
            x++;
        }
        else
        {
            return false;
        }
    }
    return true;
}

public IntPtr PatternScanMod(ProcessModule pMod, string pattern)
{
    IntPtr baseAddy = pMod.BaseAddress;
    uint dwSize = (uint)pMod.ModuleMemorySize;
    int br;
    OpenHandle();
    byte[] memDump = Read(baseAddy, dwSize, out br);
    CloseHandle();
    string[] pBytes = pattern.Split(' ');
    try
    {
        for (int y = 0; y < memDump.Length; y++)
        {
            if (memDump[y] == byte.Parse(pBytes[0], NumberStyles.HexNumber))
            {
                byte[] checkArray = new byte[pBytes.Length];
                for (int x = 0; x < pBytes.Length; x++)
                {
                    checkArray[x] = memDump[y + x];
                }
                if(CheckPattern(pattern, checkArray))
                {
                    return baseAddy + y;
                }
                else
                {
                    y += pBytes.Length - (pBytes.Length / 2);
                }
            }
        }
    }
    catch (Exception)
    {
        return IntPtr.Zero;
    }
    return IntPtr.Zero;
}

InfBreath = Mem.PatternScanMod(Mem.ReadProcess.MainModule, "f3 0f 11 86 ? ? ? ? 76 1d f3 0f 5e c1 f3 0f 11 45 08");

Creditos
Rake
Traxin