Baymax toOls v1.9.1 for x64dbg 特征码提取&搜索（2023.11.28 更新）

Nisy · 发表于 2023-8-22 19:59

本帖最后由 Nisy 于 2024-1-12 21:21 编辑

插件介绍：

BaymaxTools 是 x64dbg 调试器的一款特征码提取和搜索插件。主要功能有：
1. 解析汇编指令并根据用户的设置提取对应的特征码；
2. 可对进程内存快速搜索特征码条目（是普通内存搜索工具速度的6~10倍）；
3. 更好的解析被调试进程内存空间（效果要好于x64dbg），包括解析shadowDll，可按类型更方便的进行内存检索；
4. 支持搜索汇编指令，并可将编译指令转换为特征码进行搜索；
5. 支持搜索字符串（UNICODE\ASCII\UTF-8）；
6. 可搜索被VM保护的指令；

使用说明：
将 x32\plugins 目录下的文件复制到 x64Dbg\x32\plugins 目录。
将 x64\plugins 目录下的文件复制到 x64Dbg\x64\plugins 目录。

使用方法：
在反汇编窗口选中多行汇编，右键菜单使用 Baymax ToOls 即可复制特征码或搜索特征码。

更新说明：

Baymax toOls for x64dbg v1.9.1
2023.11.28

1. 修复搜索“私有内存区段列表”卡慢的问题。
2. 增加设置 UI 字体
3. 支持高 DPI 显示

Baymax toOls for x64dbg v1.9
2023.08.20

1. 优化搜索算法，速度更快！
2. 搜索窗口增加模块列表刷新功能，若进程内存数据或模块有变动可刷新后再进行搜索。
3. 搜索窗口支持对汇编指令的搜索
  3.1>输入的数值将被作为十六进制处理（不需要'0x'前缀或'h'后缀）
  3.2>汇编窗口选中的第一行将作为指令编译的起始地址
  3.3>由于编译模式不同，若结果不符合预期可勾选ModR/M（默认引擎）
  3.4>可在设置中对汇编指令编译的结果转为特征码后进行搜索
4. 搜索窗口支持对字符串的搜索，可设置不匹配大小写，默认选项同时搜索字符串的UNICODE\ASCII\UTF-8三种编码。
5. 右键菜单可搜索被加壳工具（themIDA、vmprotect、obsidium、enigma ...）VM保护的代码，可解析出跨区段的指令。
  5.1>解析列表中属于原程序代码段的地址中，包含了疑似被VM保护的代码入口地址。
6. 增加繁体中文（感谢 plusv 提供）
7. 修复一些Bug

云盘链接: http://pan.baidu.com/s/1pLUuBEj 密码: 5x8n
下载地址：https://github.com/sicaril/BaymaxTools

sunsjw · 发表于 2023-8-24 11:19

Nisy 发表于 2023-8-23 13:40
没有加载的页？
插件有两个列表项，一个是模块列表，一个是堆/栈/私有空间列表项，你可以根据需求，设 ...

可能是我描述的准确，我说下我遇到的问题：我在调试jlinkarm.dll，要搜索这个dll里的字符串"clone",当我用x64dbg加载这个dll，停在dll的入口点，然后搜索字符串的时候，是搜索不到的。但是我在IDA里的String窗口是可以搜索到的。我猜想这个时候有一部分内容并没有加载至内存，只是分配了个虚拟地址，并没有把真实的内容加载进来，只有在访问的时候产生缺页中断加载真实内容（PS：但是有一点想不通的就，搜索不就是访问吗？）。我随便找一个dll的输出函数“JlinkARM_Go”在CPU窗口查看其反汇编代码，发现这里也全是00，代码没有被加载。这个时候在该函数上下F2断点，该函数就会马上被加载，可以看到汇编代码了。分析可能原因就是因为F2会写内存，触发缺页中断，然后操作系统会把这页内存加载至内存。所以我在想能不能让被加载的文件一次性把所有的内容都加载至内存，而不是访问到才加载，这样搜索的时候才能搜索出来。

不知道我有没有说明白。

Nisy · 发表于 2023-8-23 12:03

Sh4DoW321 发表于 2023-8-23 04:25
Hi
is there English version ?

When the plug-in is run for the first time, it will set the corresponding language according to the system language
Of course you can also set up your own： Options ==> Languages --> English

more Introductions： https://github.com/sicaril/BaymaxTools

guogss · 发表于 2023-8-22 20:07

本帖最后由 guogss 于 2023-8-22 22:55 编辑

这个东西在带vmp或者tmd壳的exe或者dll里面搜索会崩溃的问题终于修复了！！！高兴

醉生梦死. · 发表于 2023-8-22 20:45

校长威武~

LuckyClover · 发表于 2023-8-22 20:59

感谢分享，收藏备用

xq811028 · 发表于 2023-8-22 21:00

感谢校长分享礼物，节日快乐。

666888tzq · 发表于 2023-8-22 21:02

感谢校长分享。

PUQ · 发表于 2023-8-22 21:16

感谢分享

戰龍在野 · 发表于 2023-8-22 21:25

谢谢校长的提供，祝七夕节快乐

moruye · 发表于 2023-8-22 21:38

提示: 作者被禁止或删除内容自动屏蔽

xiangzz · 发表于 2023-8-22 21:41

厉害了，功能越来越强大

帐号		自动登录	找回密码
密码			注册[Register]

[x64dbg Plugin] Baymax toOls v1.9.1 for x64dbg 特征码提取&搜索（2023.11.28 更新）

免费评分

本帖被以下淘专辑推荐:

个人中心

moruye moruye 当前离线好友阅读权限 0 听众最后登录 1970-1-1 头像被屏蔽	moruye 发表于 2023-8-22 21:38 提示: 作者被禁止或删除内容自动屏蔽

	回复支持举报