PYG官方论坛 发表于 2020-3-12 17:52:52

[x64dbg 特征码提取和搜索插件] Baymax toOls v1.9.1 for x64dbg(2023.11.28 更新)





插件介绍:

BaymaxTools 是 x64dbg 调试器的一款特征码提取和搜索插件。主要功能有:
1. 解析汇编指令并根据用户的设置提取对应的特征码;
2. 可对进程内存快速搜索特征码条目(是普通内存搜索工具速度的6~10倍);
3. 更好的解析被调试进程内存空间(效果要好于x64dbg),包括解析shadowDll,可按类型更方便的进行内存检索;
4. 支持搜索汇编指令,并可将编译指令转换为特征码进行搜索;
5. 支持搜索字符串(UNICODE\ASCII\UTF-8);
6. 可搜索被VM保护的指令;

使用说明:
将 x32\plugins 目录下的文件复制到 x64Dbg\x32\plugins 目录。
将 x64\plugins 目录下的文件复制到 x64Dbg\x64\plugins 目录。

使用方法:
在反汇编窗口选中多行汇编,右键菜单使用 Baymax ToOls 即可复制特征码或搜索特征码。


00007FFB55651325| 0F84 93000000                  | je ntdll.7FFB556513BE                     |
00007FFB5565132B| CC                           | int3                                        |
00007FFB5565132C| E9 8D000000                  | jmp ntdll.7FFB556513BE                      |
00007FFB55651331| 48:8B4424 40                   | mov rax,qword ptr ss:               |
00007FFB55651336| 44:0970 68                     | or dword ptr ds:,r14d               |
00007FFB5565133A| 48:8B4424 40                   | mov rax,qword ptr ss:               |
00007FFB5565133F| 48:8B48 30                     | mov rcx,qword ptr ds:               |
00007FFB55651343| 48:890D 4E400900               | mov qword ptr ds:,rcx         |
00007FFB5565134A| E8 D17AF9FF                  | call ntdll.7FFB555E8E20                     |

原始的HEX指令:0F 84 93 00 00 00 CC E9 8D 00 00 00 48 8B 44 24 40 44 09 70 68 48 8B 44 24 40 48 8B 48 30 48 89 0D 4E 40 09 00 E8 D1 7A F9 FF
复制的特征码:0F 84 ?? ?? ?? ?? CC E9 ?? ?? ?? ?? 48 8B 44 24 40 44 09 70 ?? 48 8B 44 24 40 48 8B 48 ?? 48 89 0D ?? ?? ?? ?? E8 ?? ?? ?? ??



BTW:
可以在设置选项中勾选需要替换的类型,一般默认选项即可满足。
若复制的特征码在当前模块不唯一,您将看到弹窗提示。


更新说明:


Baymax toOls for x64dbg v1.9.1
2023.11.28

1. 修复搜索“私有内存区段列表”卡慢的问题。
2. 增加设置 UI 字体
3. 支持高 DPI 显示

Baymax toOls for x64dbg v1.9
2023.08.20


1. 优化搜索算法,速度更快!
2. 搜索窗口增加模块列表刷新功能,若进程内存数据或模块有变动可刷新后再进行搜索。
3. 搜索窗口支持对汇编指令的搜索
3.1>输入的数值将被作为十六进制处理(不需要'0x'前缀或'h'后缀)
3.2>汇编窗口选中的第一行将作为指令编译的起始地址
3.3>由于编译模式不同,若结果不符合预期可勾选ModR/M(默认引擎)
3.4>可在设置中对汇编指令编译的结果转为特征码后进行搜索
4. 搜索窗口支持对字符串的搜索,可设置不匹配大小写,默认选项同时搜索字符串的UNICODE\ASCII\UTF-8三种编码。
5. 右键菜单可搜索被加壳工具(themida、vmprotect、obsidium、enigma ...)VM保护的代码,可解析出跨区段的指令。
5.1>解析列表中属于原程序代码段的地址中,包含了疑似被VM保护的代码入口地址。
6. 修复一些Bug


汇编指令搜索:

字符串搜索:

被VM的指令搜索:


Baymax toOls for x64dbg v1.7
2022.06.26
1. 优化了搜索算法,搜索速度有明显提升
2. 支持热键唤起搜索框,默认Ctrl+Shift+S,调试状态下唤出搜索框
3. 可展示进程私有内存的列表,支持对列表所有区段搜索
4. 优化了进程内存堆、栈等私有内存的解析算法
5. 优化了 Shadow Module 的判断逻辑
6. UI和内部功能的优化调整

对进程 heap 的解析 和 VMmap 的结果比对:


Baymax toOls v1.5
2022.04.23
1. 重写了内存解析代码,以便更好的解析出可执行区段
2. 模块列表调整为:可执行模块列表和可执行节列表
3. 可对当前列表中所有项进行特征码搜索
4. 尽可能的分析出Shadow Module和脱链的模块
5. UI 操作上做了一些优化

Baymax toOls v1.3
2022.04.08
1. 修复堆空间特征码搜索不到的BUG(感谢 sagas、ylyn、蜗牛狂狼 反馈)
2. 优化搜索算法



云盘链接: http://pan.baidu.com/s/1pLUuBEj 密码: 5x8n
下载地址:https://github.com/sicaril/BaymaxTools// 404 可能是被和谐了







xukefei 发表于 2020-3-12 18:01:14

感谢大佬分享

iamasbcx 发表于 2020-3-12 18:14:17

感谢 这个特征码可以直接用winhex搜吗

天玄 发表于 2020-3-12 18:28:07

哇 大佬这么快弄好了啊 辛苦了

ningzhonghui 发表于 2020-3-12 18:34:03

感谢校长分享实用小插件,顶起!

雷破天 发表于 2020-3-12 19:24:04

感谢分享。。。。

gueijiaochen 发表于 2020-3-12 19:29:47

感谢楼主分享!!!!!!!!

iamok 发表于 2020-3-12 20:01:17

厉害,以后用大白更方便了

sunchuyang 发表于 2020-3-13 12:06:20

感谢楼主分享

DemoCc 发表于 2020-3-13 15:38:47

感谢大佬,先收藏
页: [1] 2 3 4 5 6 7 8
查看完整版本: [x64dbg 特征码提取和搜索插件] Baymax toOls v1.9.1 for x64dbg(2023.11.28 更新)