que diferencia tiene con los ?? :huh:
Saludos
Dato wildcard "??"
El dato wildcard "??" sirve para cualquier dato en esa posición.
Ejemplo
FIND eip,#3B3B????AA89#
Buscara en memoria a partir del eip los datos 3B3B las interrogaciones pueden ser cualquier dato, por consiguiente buscara dos dígitos mas y luego los siguientes serán AA89, unos resultados posible de búsqueda serían:
3B3B269FAA89
3B3B7464AA89
3B3B8321AA89
3B3BBCFDAA89
Poner ?? al final es lo mismo que no poner nada. Es util cuando esta entre valores: 25FF??3341
Si, eso noté, viendo un tutorial hicieron eso y me extrañó además como no me funcionaba el script pensé que era eso pero terminé dándome cuenta que el problema era otro y lo corroboré leyendo otro tutorial
Saludos
en esa forma, no tiene diferencia alguna, en el destino si en la busqueda, en la primera buscara 3 bytes, en la segunda 2
yo creo que la diferencia mayor la puedes crear con Findmem, find , findcmd , son muy diversos los usos
yo suelo no usar eip, pues podemos llegar a buscar en una dll, suelo usar en memoria o en un modulo de algo, por si sirve el dato curioso...
luego si no es valido o salio, incrementamos la busqueda
no se si resulte pero deberia ser algo asi
Citarvar start
var fin
mov start,401000
mov fin,402000
loop:
cmp start,fin
ja finalisimo
FIND start, #3B3B????AA89#
log $RESULT
add start,4
jmp loop
finalisimo:
ret
eso lo saque como idea de las busquedas multiples ,pero no estoy ni con depurador en el pc a mano, pero deberia funcionar algo asi.
si, efectivamente no tiene gran diferencia solo cuando realizas búsquedas intermedias
Saludos