ce指针扫描后 转化为易语言 例子

独倚斜阳

如图扫描出来这样一个指针 需要转化为易语言
查了下记录 上一次碰指针还是2017年 都忘记了 论坛查半天也没找到结果  自己鼓捣解决后 留个记录帖 以后忘记了再来翻……
其中下面的id为取到的进程id  我用的个其他模块取的 精易应该也有 自行解决   另外一个 “取模块句柄ex” 论坛下的个源码  找不到帖子了  把那个程序源码上传上来

  

子程序名	返回值类型	公开	备 注
当前代码
参数名	类 型	参考	可空	数组	备 注
id	整数型

变量名	类 型	静态	数组	备 注
jz	整数型
多级偏移jz	整数型

jz ＝ 取模块句柄ex (id, “XXXX.dll”) ＋ 十六到十 (“001F8204”)
jz ＝ 内存.读整数 (id, jz)
调试输出 (十到十六 (jz))
多级偏移jz ＝ 内存.读整数 (id, jz ＋ 十六到十 (“320”))
调试输出 (十到十六 (多级偏移jz))
多级偏移jz ＝ 内存.读整数 (id, 多级偏移jz ＋ 十六到十 (“12c”))
调试输出 (十到十六 (多级偏移jz))
多级偏移jz ＝ 内存.读整数 (id, 多级偏移jz ＋ 十六到十 (“108”))
调试输出 (十到十六 (多级偏移jz))
多级偏移jz ＝ 内存.读整数 (id, 多级偏移jz ＋ 十六到十 (“14”))
调试输出 (十到十六 (多级偏移jz))
多级偏移jz ＝ 多级偏移jz ＋ 十六到十 (“165”)
' 多级偏移jz ＝ 内存.读整数 (id, 多级偏移jz ＋ 十六到十 (“165”))
调试输出 (十到十六 (多级偏移jz))

i支持库列表	支持库注释
spec	特殊功能支持库

.版本 2<br /> .支持库 spec<br /> <br /> .子程序 当前代码<br /> .参数 id, 整数型<br /> .局部变量 jz, 整数型<br /> .局部变量 多级偏移jz, 整数型<br /> <br /> <br /> jz ＝ 取模块句柄ex (id, “XXXX.dll”) ＋ 十六到十 (“001F8204”)<br /> jz ＝ 内存.读整数 (id, jz)<br /> 调试输出 (十到十六 (jz))<br /> 多级偏移jz ＝ 内存.读整数 (id, jz ＋ 十六到十 (“320”))<br /> 调试输出 (十到十六 (多级偏移jz))<br /> 多级偏移jz ＝ 内存.读整数 (id, 多级偏移jz ＋ 十六到十 (“12c”))<br /> 调试输出 (十到十六 (多级偏移jz))<br /> 多级偏移jz ＝ 内存.读整数 (id, 多级偏移jz ＋ 十六到十 (“108”))<br /> 调试输出 (十到十六 (多级偏移jz))<br /> 多级偏移jz ＝ 内存.读整数 (id, 多级偏移jz ＋ 十六到十 (“14”))<br /> 调试输出 (十到十六 (多级偏移jz))<br /> 多级偏移jz ＝ 多级偏移jz ＋ 十六到十 (“165”)<br /> ' 多级偏移jz ＝ 内存.读整数 (id, 多级偏移jz ＋ 十六到十 (“165”))<br /> 调试输出 (十到十六 (多级偏移jz))

调试输出结果

* “1ABD476C”
* “1C699418”
* “1C59F138”
* “1C59F778”
* “1C785C18”
* “1C785D7D”



附件只是 取模块句柄ex() ！！！

Chalmer

支持开源~！感谢分享

2717677063

冰棍好烫啊 发表于 2022-4-23 18:00
NB模块 计算地址表达式()  直接就行了

你这个模块闪退 占用CPU也特别高

A13ZZ

感谢分享，很给力！~

落寞23333

啊这 我看标题以为是把CE指针文件转换成易语言代码

凉城o

路过围观一下，顺便帮顶

Awesome·LYG

有没有想过我这样写，不过我这是临时写的，没验证，但是大概是这个思路。。

  

子程序名	返回值类型	公开	备 注
当前代码
参数名	类 型	参考	可空	数组	备 注
id	整数型
地址表达式	文本型				+xx+xx+xx+xx

变量名	类 型	静态	数组	备 注
jz	整数型
要提取的模块地址	文本型		0
模块地址	文本型
地址数组	文本型		0
n	整数型

如果真 (寻找文本 (局_表达式, “<”, , 假) ＝ -1)
模块地址 ＝ 文本_取出中间文本 (地址表达式, “<”, “>”)
要提取的模块地址 ＝ 分割文本 (模块地址, “+”, )
判断 (取数组成员数 (要提取的模块地址) ＝ 2)
jz ＝ 取模块句柄ex (id, 要提取的模块地址[1]) ＋ 要提取的模块地址[2]
jz ＝ 取模块句柄ex (id, 要提取的模块地址[1])
地址表达式 ＝ 文本_替换 (地址表达式, , , , “<” ＋ 模块地址 ＋ “>”, jz)

地址数组 ＝ 分割文本 (地址表达式, “+”, )
计次循环首 (取数组成员数 (地址数组), n)
判断 (n ＝ 成员数)
局_临时地址 ＝ 局_临时地址 ＋ 进制_十六到十 (地址数组 [n])
局_临时地址 ＝ 内存.读整数型 (id, 局_临时地址 ＋ 进制_十六到十 (地址数组 [n]))

计次循环尾 ()
内存.读整数型 (id, 局_临时地址)

.版本 2<br /> <br /> .子程序 当前代码<br /> .参数 id, 整数型<br /> .参数 地址表达式, 文本型, , +xx+xx+xx+xx<br /> .局部变量 jz, 整数型<br /> .局部变量 要提取的模块地址, 文本型, , "0"<br /> .局部变量 模块地址, 文本型<br /> .局部变量 地址数组, 文本型, , "0"<br /> .局部变量 n, 整数型<br /> <br /> .如果真(寻找文本 (局_表达式, “<”, , 假) ＝ -1)<br />     模块地址 ＝ 文本_取出中间文本 (地址表达式, “<”, “>”)<br />     要提取的模块地址 ＝ 分割文本 (模块地址, “+”, )<br />     .判断开始 (取数组成员数 (要提取的模块地址) ＝ 2)<br />         jz ＝ 取模块句柄ex (id, 要提取的模块地址[1]) ＋ 要提取的模块地址[2]<br />     .默认<br />         jz ＝ 取模块句柄ex (id, 要提取的模块地址[1])<br />     .判断结束<br />     地址表达式 ＝ 文本_替换 (地址表达式, , , , “<” ＋ 模块地址 ＋ “>”, jz)<br /> .如果真结束<br /> <br /> 地址数组 ＝ 分割文本 (地址表达式, “+”, )<br /> .计次循环首 (取数组成员数 (地址数组), n)<br />     .判断开始 (n ＝ 成员数)<br />         局_临时地址 ＝ 局_临时地址 ＋ 进制_十六到十 (地址数组 [n])<br />     .默认<br />         局_临时地址 ＝ 内存.读整数型 (id, 局_临时地址 ＋ 进制_十六到十 (地址数组 [n]))<br />     .判断结束<br /> <br /> .计次循环尾 ()<br /> 内存.读整数型 (id, 局_临时地址)

冰棍好烫啊

独倚斜阳 发表于 2022-4-23 22:38
给个例子 回头我试试……

pvz的阳光地址
内存.计算地址表达式 (pid, “006A9F38+768+5560”)

独倚斜阳

冰棍好烫啊 发表于 2022-4-23 18:00
NB模块 计算地址表达式()  直接就行了

给个例子 回头我试试……

深圳梦

        支持开源~！感谢分享