分类分类
大小:1.05 MB更新:2020/09/29
类别:编程辅助系统:Winll

sharpod反反调试插件插的两张图,一个是该插件在ollydbg的推荐配置设置,一个是在x64dbg里的,各位可以参考看看,毕竟在不同的反汇编软件里,导入该插件,虽然在功能选项上一致,但是是否可以开启和兼容与否,还是需要考虑的问题!
SharpOD x64 插件是一款只支持64位系统的(Win7,8,10) 反反调试插件,并且支持x32dbg和x64dbg

1.增加 x64dbg Remove EP Break
2.增加 x64dbg Atti_Atti Attach
3.增加 ollydbg 随机三级菜单标题
4.完善下 VMP3.1(above)功能。
5.修复 x64dbg 以管理员重新启动,窗口消息未还原,崩溃的BUG
6.修复 x64dbg 64位程序与火绒安全软件抢Hook点导致程序崩溃的BUG
7.修复 取explorer.exe 进程PID不到,父进程PID变成4的情况。
9.优化代码
安装
Ollydbg: 拷贝SharpOD x64.dll 到您的OD插件目录,并且拷贝StrongOD插件到OD插件目录(StrongOD在64位上主要用于修复OD的BUG和非常好用的快捷键)
然后重启调试器在插件菜单中配置
x64dbg: 拷贝对应版本的插件到你的x64dbg插件目录,如64位,拷贝SharpOD x64.dp64文件,然后重启调试器在插件菜单中配置
个人见解先来谈谈各插件功能
StrongOD:非常优秀的一款插件,几乎完美,因在64位系统加载不上驱动,只能在32位系统上发挥其威力,海风大牛也没时间更新,这真是个悲剧。
PhantOm: 插件精简高效,但使用了SSDT Index硬编码来拦截 wow64cpu!Wow64Transition(32位转64位模式的地方 jmp 0033:xxxxxxxxx)导致兼容性也不是那么的好。
而且处理的东西也非常少,Wow64进程的peb64也没有处理,故导致很多的反调试过不去。
scyllaHide: x64dbg作者开发的一款非常优秀隐藏插件,同上也是Hook wow64cpu!Wow64Transition(32位转64位模式的地方 jmp 0033:xxxxxxxxx),而且处理了非常多的地方。
我看完了scyllaHide的源代码,界面复杂,发现作者有点赖 - -!,很多地方处理不够精细,并且硬件断点保护作者嫌64位麻烦也是没写,并且Hook位置不够深,别人随便调用个64位API就检测到了。
titanHide: 在64位系统上SSDT Hook,首先用户就要去过一遍PG了,而且处理的地方也不多。
以上插件各有其优缺点,就是找不到一个完美点的,且现在越来越多的64位系统,在64位系统上没能找到一款顺手插件导致被很多软件anti到,故编写了SharpOD x64插件。。
SharpOD x64主要实现是向wow64进程 ,注入纯64位code,并且hook ntdll64 api来实现的,这样做要比Hook wow64cpu!Wow64Transition要底层的多。
->Hide PEB (重载程序生效)
1
隐藏PEB,处理掉以下特征
peb.BeingDebugged & wow64.peb64.BeingDebugged
peb.NtGlobalFlag & wow64.peb64.NtGlobalFlag
peb.processHeap.HeapFlags & wow64.peb64.processHeap.HeapFlags
peb.processHeap.ForceFlags & wow64.peb64.processHeap.ForceFlags
-> Change Caption (重启调试器生效)
1
2
无力吐槽的功能,恕我直言,一切带特征的反调试都是不安全的。
而这个功能就是在改变调试器 窗口标题、菜单名称 来防止小学生的枚举窗口以及菜单检测。
-> Hide Process (重载程序生效)
1
隐藏进程功能,只针对正在调试的进程,在NtQuerySystemInformation断链
-> Fake ParentProcess (重载程序生效)
1
修改父进程标识符,调试的进程 父进程会变成explorer.exe的,如果取不到explorer.exe 的pid,则会把父进程变成4.
-> Drag Attach (重启调试器生效)
1
感觉这个是最给力的更新了,只要拖动调试器左上角的图标 到目标窗口上,即可附加进程。
->Hook *ZwFunctions (重载程序生效)
1
2
Hook Zw系列函数
这个处理的东西太多了,以下Nt函数
NtQuerySystemInformation
SystemKernelDebuggerInformation
SystemProcessInformation
SystemHandleInformation
NtClose
invalid Handle
NtQueryInformationProcess
ProcessBasicInformation
ProcessDebugPort
ProcessDebugObjectHandle
ProcessDebugFlags
NtSetInformationThread
ThreadHideFromDebugger
NtDuplicateObject
NtQueryObject
ObjectTypesInformation -> DebugObject
NtYieldExecution
return STATUS_NO_YIELD_PERFORMED
-> Remove DebugProvileges (重载程序生效)
1
2
移除调试进程的调试权限
因为默认情况下进程没有SeDebugPrivilege权限,调试时会从调试器继承这个权限,以不免有人利用这一点。默认不建议开启
-> VMP 3.1(above) (重载程序生效)
1
2
3
过VMP3.1以上版本的反调试
VMProtect 3.1版本开始有重大的更新,从这个版本开始,直接模拟Wow64 调用syscall进入内核,32位的系统也是直接调用特权指令systnter进入内核,查询检测ProcessDebugObjectHandle,所以在应用层几乎没有办法拦截他。
我这里使用了一个小trick绕过了他的检测。
-> Protect Drx (重载程序生效)
1
保护硬件断点
ZwSetcontextThread
ZwGetContextThread
KiUserExceptionDispatcher -> if Wow64PrepareForException
RtlDispatchException
RtlRestoreContext
->Driver Hook SSDT (重启调试器生效)
1
使用此功能,所有用户电脑都得去过PatchGuard,非常麻烦,等必要的时候在加上去。
->Driver Hook ShadowSSDT (重启调试器生效)
1
->Driver Dbg ValidaccessMask (重启调试器生效)
1
2
此功能专门针对那些 模仿TP反调试 来清除你的DebugObject->ValidAccessMask ,谁给你的这么大的权力来全局清除我机器的调试对象?
现象是你的调试器无法拖入任何程序。
->Driver bypass ObjectHook (重启调试器生效)
1
2
绕过 object hook,这个保护在 64位系统上用的最多,他可以过滤掉你打开进程的权限。
比如让你无法对目标进程内存读写等。开启这个功能即可绕过这个保护。但好像win10系统下会触发PG
crystal reports 2013(水晶报表for vs2013)编程辅助232.00 MB最新免费版
详情fastreport中文版(报表控件)编程辅助2.30 MBv5.6 官方最新版_含授权码/使用教程
详情VOFA+软件32位/64位编程辅助48.90 MBv1.3.10 官方版
详情jstl-1.2.jar包编程辅助378.00 KB免费版
详情大漠插件中文汉化模块源码编程辅助6.66 MB免费版
详情易语言vc98linker编程辅助10.80 MB破解版
详情反汇编逆向神器x64dbg+中文字符串搜索插件编程辅助32.40 MBv2023.01.25 修订版
详情Visual Studio 2022离线工具编程辅助24.00 KBv1.0.0 免费版
详情sap crystal reports runtime engine for .net编程辅助78.00 MBv64bit 13.0.9 官方免费版
详情微软.NET Framework编程辅助73.40 MBv4.7.2.0 官方完整版
详情poi-ooxml-schemas-3.9-20121203.jar编程辅助900.00 KB免费版
详情Qt Designer汉化版编程辅助49.76 MB中文版
详情python打包工具(pyinstaller_GUI)编程辅助33.92 MBv0.4 官方版
详情Restorator2014汉化版编程辅助3.91 MB中文版
详情水晶报表for vs2015(CRforVS_13_0_17)编程辅助253.00 MB官方版
详情win7安装matlab6.5编程辅助447.00 KB
详情数控宏程序自动生成器编程辅助468.00 KBv3.0 免费版
详情sublime text 3插件包编程辅助35.90 MBv1.0 绿色免费版
详情log4j-1.2.17.jar.zip编程辅助434.00 KB官方免费版
详情jxl 2.6.12.jar编程辅助667.00 KB官方版
详情点击查看更多
RxLib for D5-XE10.2 2.75 Update 1.0.17编程辅助3.90 MB
详情RedisClient(Redis客户端GUI工具)编程辅助28.59 MBv1.5.0 绿色中文版
详情odac for D7-XE6编程辅助11.70 MBv9.3.08 官方版
详情RCX-Studio(雅马哈编程软件)编程辅助9.80 MBv1.1.0 官方版
详情x64dbg调试工具编程辅助32.20 MBv2022.08.08 绿色汉化版
详情微软.NET Framework编程辅助73.40 MBv4.7.2.0 官方完整版
详情水晶报表for vs2015(CRforVS_13_0_17)编程辅助253.00 MB官方版
详情php+mysql代码生成工具编程辅助30.10 MBv1.0 绿色免费版
详情数控宏程序自动生成器编程辅助468.00 KBv3.0 免费版
详情org.apache.poi jar包编程辅助28.65 MBv3.17 官方最新版
详情mysql-connector-java-5.1.17-bin.jar(MySQL JDBC驱动包)编程辅助744.00 KB免费版
详情git for windows 64位编程辅助48.00 MBv2.32.0.2 官方最新版
详情VOFA+软件32位/64位编程辅助48.90 MBv1.3.10 官方版
详情sap crystal reports runtime engine for .net编程辅助78.00 MBv64bit 13.0.9 官方免费版
详情jQuery EasyUI编程辅助1.09 MB1.7.0 官方API中文版
详情log4j-1.2.17.jar.zip编程辅助434.00 KB官方免费版
详情jstl-1.2.jar包编程辅助378.00 KB免费版
详情fastreport中文版(报表控件)编程辅助2.30 MBv5.6 官方最新版_含授权码/使用教程
详情Spire.Doc for Java编程辅助81.80 MBv2.7.3 免费版
详情javax.servlet-api-4.0.1.jar编程辅助277.00 KB免费版
详情点击查看更多
雨田静态分析系统(c语言静态分析工具)编程辅助3.15 MBv1.5.0 免费版
详情jQuery手风琴图片相册特效插件编程辅助427.00 KB正式版
详情RegexBuddy(正则表达式处理器)编程辅助18.00 MBv4.8.2 中文免安装版
详情activation.jar.zip编程辅助76.00 KB完整免费版
详情mysql-connector-java-5.1.17-bin.jar(MySQL JDBC驱动包)编程辅助744.00 KB免费版
详情Diffinity代码对比工具编程辅助373.00 KBv0.8.7 最新版
详情sublime emmet插件编程辅助224.00 KB官方版
详情OSDLL串口调试助手编程辅助177.00 KBv20.11.19.0 绿色版
详情android材质设计图标生成器(material design icon generator plugin)编程辅助31.90 MB最新版
详情mysql connector java 5.1.16.jar(mysql数据库JDBC驱动)编程辅助743.00 KB免费版
详情commons-codec-1.5.jar编程辅助72.00 KB免费版
详情LightProxy(阿里巴巴抓包工具)编程辅助93.00 MBv1.1.40 官方版
详情sublime text 3插件包编程辅助35.90 MBv1.0 绿色免费版
详情jQuery图片图集幻灯片特效插件编程辅助1.14 MB正式版
详情Android Studio 3.4中文补丁编程辅助83.25 MB免费版
详情Android Holo Colors Generator(Android布局组件)编程辅助710.00 KB最新版
详情log4j-1.2.17.jar.zip编程辅助434.00 KB官方免费版
详情git源代码管理工具编程辅助44.00 MBv2.29.2.2 官方免费版
详情smali2javaui(smali文件转java)编程辅助6.51 MBv1.0.0.558 绿色版
详情jQuery弹出层插件fDialog编程辅助44.00 KBv1.0 正式版
详情点击查看更多




































