怎么读取读取汇编码？操作码

独倚斜阳

AAA.exe+10E0C00 - 48 8D 05 A9D0A701     - lea rax,[AAA.exe+2B5DCB0]

这样的地址其中  AAA.exe+10E0C0就是内存地址7FF6C2E80C00 (已经取得7FF6C2E80C00)


怎么通过读取7FF6C2E80C00这个地址   读到这个字符串AAA.exe+2B5DCB0   我把这个AAA.exe+2B5DCB0当做某个jz用

有人说用下面这种，但是我没找到相关命令

读取汇编码，在取文本中间

黄福寿

要读的内存地址 = AAA.exe + 10E0C0 // 这个值等于7FF6C2E80C00，工具显示问题，设置下就显示地址了
偏移量 = 内存_读整数型64(进程句柄，要读的内存地址 + 3) // 整数占用四个字节，直接读字节也可以，读四个字节，得到的数据是01A7D0A9
你想要的JZ = 要读的内存地址  + 偏移量 + 7 // 当前位置占用7个字节，所以加7，结果就是7FF6C48FDCB0

独倚斜阳

我用的这种办法弄的

要读取地址 7FF6C2E80C00（即 AAA.exe+10E0C00）处的指令并解析出目标字符串 AAA.exe+2B5DCB0 对应的jz，需遵循以下步骤：

步骤解析：
读取指令字节：

从地址 7FF6C2E80C00 读取 7字节 数据（指令长度）。

示例指令：48 8D 05 A9 D0 A7 01（小端序）。

解析偏移量：

指令的后4字节 A9 D0 A7 01 是 32位有符号偏移量（小端序）。

转换为整数：

小端值：0x01A7D0A9（十六进制）。

十进制：27,780,777（正数）。

计算下一条指令地址：

当前指令地址：0x7FF6C2E80C00

指令长度：7 字节

下一条指令地址：0x7FF6C2E80C00 + 7 = 0x7FF6C2E80C07

计算目标地址：

目标地址 = 下一条指令地址 + 偏移量

计算：0x7FF6C2E80C07 + 0x01A7D0A9 = 0x7FF6C48FDCB0

结果：0x7FF6C48FDCB0（即 AAA.exe+2B5DCB0 的绝对地址）。

有点烦  取字节集出来后 还要倒着取了去加

华武

变量：局_内存操作 类型：类_内存  ；；；；局_内存操作.读长整数 (进程ID,内存地址)，取出里面的数据，但你这个好像要X64来支持。我怎么印像中精易有X64内存操作来的，但我忘了在哪了

待一季花开

这不就是特征码定位吗

404错误

AAA.exe+2B5DCB0
AAA.exe是模块地址，精易有个直接读模块地址的命令，然后加上2B5DCB0的偏移。

谁的坏叔叔

通过查内存属性 取得当前地址所在模块句柄 然后通过 当前地址减去模块句柄得出偏移    最后只需要模块句柄➕偏移就ok了

独倚斜阳

404错误 发表于 2025-6-3 10:44
AAA.exe+2B5DCB0
AAA.exe是模块地址，精易有个直接读模块地址的命令，然后加上2B5DCB0的偏移。 ...

他这个 2B5DCB0 是在汇编/操作码里面写的 我要读出这一段文本呢

独倚斜阳

谁的坏叔叔 发表于 2025-6-3 12:52
通过查内存属性 取得当前地址所在模块句柄 然后通过 当前地址减去模块句柄得出偏移    最后只需要模块句柄 ...

有这个 模块句柄的命令！

当前地址 转成10进制长整数 然后直接减去模块地址？