特征码搜索指南.txt

=== 9.9.12-25493 签名函数特征码 ===

函数地址：00007FFA3C7496E0
偏移值：  0xA996E0
模块基址：00007FFA3C6B0000

特征码（前 20 字节）：
55 41 57 41 56 41 55 41 54 56 57 53 48 81 EC C8 03 00 00 48

特征码（前 15 字节，推荐用于搜索）：
55 41 57 41 56 41 55 41 54 56 57 53 48 81 EC

汇编特征：
55              push rbp
41 57           push r15
41 56           push r14
41 55           push r13
41 54           push r12
56              push rsi
57              push rdi
53              push rbx
48 81 EC C80300 sub rsp,3C8

=== 在 9.9.20-37051 中搜索步骤 ===

1. 用 x64dbg 打开：
   C:\Program Files\Tencent\QQNT\versions\9.9.20-37051\resources\app\wrapper.node

2. 按 Ctrl+B 打开二进制搜索

3. 输入搜索内容（选择其中一种）：
   
   方式 A（完整）：
   55 41 57 41 56 41 55 41 54 56 57 53 48 81 EC C8 03 00 00 48
   
   方式 B（推荐，更灵活）：
   55 41 57 41 56 41 55 41 54 56 57 53 48 81 EC
   
   方式 C（最短）：
   55 41 57 41 56 41 55 41 54 56 57 53

4. 点击"查找"或按回车

5. 找到匹配项后：
   - 查看该地址（例如：7FF8XXXXXXXX）
   - 查看模块基址（内存映射或 CPU 窗口第一行）
   - 计算偏移值 = 找到的地址 - 模块基址

6. 验证：
   - 检查是否有相同的函数序言
   - 检查函数体是否类似（大量位运算）
   - 检查是否有 ret 结尾

=== 可能的结果 ===

情况 1：找到相同的特征码
  → 说明 9.9.20 版本的签名函数结构相同
  → 记录新的偏移值
  → 更新 sign.cpp 中的 addrMap

情况 2：未找到相同的特征码
  → 说明函数可能被重构或优化
  → 尝试搜索更短的特征码
  → 或者尝试已知的偏移值 0xA9CE90

情况 3：找到多个匹配项
  → 检查每个匹配项的上下文
  → 选择最像函数开头的那个
  → 通过函数大小和复杂度判断

=== 快速测试偏移值 ===

如果找到了新的偏移值，立即测试：

1. 编辑 sign.json：
   {
     "ip": "0.0.0.0",
     "port": 8080,
     "version": "9.9.20-37051",
     "offset": "0xXXXXXX"  ← 填入新的偏移值
   }

2. 编译并运行：
   cmake --build --preset=msvc-release
   start.bat

3. 验证：
   访问 http://localhost:8080/ping
   应该返回 {"code":0}

=== 备用方案 ===

如果特征码搜索失败，尝试：

1. 直接测试已知的候选偏移值：
   - 0xA9CE90 （最可能）
   - 0xA996E0 （当前版本的值）
   - 0xA84980
   - 0xAB5510

2. 使用 IDA Pro 的 BinDiff 对比两个版本

3. 查看 GitHub Issues 是否有人分享了 9.9.20 的偏移值

祝你成功喵~ 🐾