RamDumpCmp – находит адреса опций в дампах памяти

Эта программа предназначена для поиска различий в группах бинарных файлов. Загружается любые 2 или 3 группы файлов (в колонки A,B или A,B,C). В каждой группе игнорируются те байты которые различаются внутри этой группы. Затем сравниваются оставшиеся байты между группами. Те байты которые различаются между группами – это и есть искомые результаты, их адреса сохраняются в текстовый файл. Практическое применение этого – для реверсинжениринга. Например, надо найти в ОЗУ устройства место хранения какой-то опции. Делается по несколько (для отсеивания посторонних изменений) дампов ОЗУ в разных состояниях искомой опции. Затем при помощи RamDumpCmp отсеиваются посторонние адреса и вычисляются адреса связанные с изменением опции.

Пример поиска различий.
Группа A Группа B Группа C
file1a

00000000 E0 B7 97 DC 38 07 FF 51
00000008 E0 C9 D3 FF E2 61 22 8D
00000010 27 CD BB 75 47 2C DD 15
00000018 6B 62 AB 1A 02 1A D0 FA
file1b

00000000 1B CC 88 4C 38 07 FF 51
00000008 E0 C9 D3 FF E2 61 22 8D
00000010 99 52 B5 75 47 2C DD 18
00000018 6B 62 AB 1A 02 1A D0 FA
file1c

00000000 0C 08 67 B2 38 07 FF 51
00000008 E0 C9 D3 FF E2 61 22 8D
00000010 CA 89 4B 75 47 2C DD BA
00000018 6B 62 AB 1A 02 1A D0 FA
file2a

00000000 10 A7 01 DC 38 07 FF 51
00000008 E0 C9 D3 FF E2 61 22 8D
00000010 27 CD BB 75 47 2C DD 15
00000018 6B 62 AB 1A 02 1A D0 FA
file2b

00000000 B8 8D C9 4C 38 07 FF 51
00000008 E0 C9 D3 FF E2 61 22 8D
00000010 99 52 B5 75 47 2C DD 18
00000018 6B 62 AB 1A 02 1A D0 FA
file2c

00000000 28 A3 DC B2 38 07 FF 51
00000008 E0 C9 D3 FF E2 61 22 8D
00000010 CA 89 4B 9A F4 96 00 BA
00000018 6B 62 AB 1A 02 1A D0 FA
file3a

00000000 10 A7 01 DC 38 07 FF 51
00000008 E0 C9 D3 FF E2 61 22 8D
00000010 99 52 BB 1F 0F 9C 66 15
00000018 6B 62 AB 1A 02 1A D0 FA
file3b

00000000 B8 8D C9 4C 38 07 FF 51
00000008 E0 C9 D3 FF E2 61 22 8D
00000010 99 52 B5 75 47 2C DD 18
00000018 6B 62 AB 1A 02 1A D0 FA
file3c

00000000 28 A3 DC B2 38 07 FF 51
00000008 E0 C9 D3 FF E2 61 22 8D
00000010 CA 89 4B 9A F4 96 00 BA
00000018 6B 62 AB 1A 02 1A D0 FA
Найденные адреса: 00000003, 00000012, 00000017.

Скриншот RamDumpCmp

История развития программы:
v.1.1.0.0 (2016.02.18) Мелкие правки GUI.
v.1.0.0.0 (2012.12.26) Первая публичная версия;

Скачать “RamDumpCmp_v11.rar” – 8,61 КБВерсия 1.1, 2016-02-18 20:54