国产无码在线观看视频,亚洲人成网址在线播放,日韩人妻中出中文字幕

軟件介紹人氣軟件精品推薦相關(guān)文章網(wǎng)友評論下載地址
小編為您推薦： x64dbg sharpod 調(diào)試插件

sharpod反反調(diào)試插件插的兩張圖，一個(gè)是該插件在ollydbg的推薦配置設(shè)置，一個(gè)是在x64dbg里的，各位可以參考看看，畢竟在不同的反匯編軟件里，導(dǎo)入該插件，雖然在功能選項(xiàng)上一致，但是是否可以開啟和兼容與否，還是需要考慮的問題！

sharpod插件簡介

SharpOD x64 插件是一款只支持64位系統(tǒng)的(Win7,8,10) 反反調(diào)試插件，并且支持x32dbg和x64dbg

sharpod下載

更新說明

1.增加 x64dbg Remove EP Break

2.增加 x64dbg Atti_Atti Attach

3.增加 ollydbg 隨機(jī)三級菜單標(biāo)題

4.完善下 VMP3.1(above)功能。

5.修復(fù) x64dbg 以管理員重新啟動(dòng)，窗口消息未還原，崩潰的BUG

6.修復(fù) x64dbg 64位程序與火絨安全軟件搶Hook點(diǎn)導(dǎo)致程序崩潰的BUG

7.修復(fù) 取explorer.exe 進(jìn)程PID不到，父進(jìn)程PID變成4的情況。

9.優(yōu)化代碼

sharpod怎么用

安裝

Ollydbg: 拷貝SharpOD x64.dll 到您的OD插件目錄，并且拷貝StrongOD插件到OD插件目錄(StrongOD在64位上主要用于修復(fù)OD的BUG和非常好用的快捷鍵)

然后重啟調(diào)試器在插件菜單中配置

x64dbg: 拷貝對應(yīng)版本的插件到你的x64dbg插件目錄,如64位,拷貝SharpOD x64.dp64文件,然后重啟調(diào)試器在插件菜單中配置

個(gè)人見解先來談?wù)劯鞑寮δ?/strong>

StrongOD：非常優(yōu)秀的一款插件，幾乎完美，因在64位系統(tǒng)加載不上驅(qū)動(dòng)，只能在32位系統(tǒng)上發(fā)揮其威力，海風(fēng)大牛也沒時(shí)間更新，這真是個(gè)悲劇。

PhantOm: 插件精簡高效，但使用了SSDT Index硬編碼來攔截 wow64cpu!Wow64Transition(32位轉(zhuǎn)64位模式的地方 jmp 0033:xxxxxxxxx)導(dǎo)致兼容性也不是那么的好。

而且處理的東西也非常少，Wow64進(jìn)程的peb64也沒有處理，故導(dǎo)致很多的反調(diào)試過不去。

scyllaHide: x64dbg作者開發(fā)的一款非常優(yōu)秀隱藏插件，同上也是Hook wow64cpu!Wow64Transition(32位轉(zhuǎn)64位模式的地方 jmp 0033:xxxxxxxxx),而且處理了非常多的地方。

我看完了scyllaHide的源代碼，界面復(fù)雜，發(fā)現(xiàn)作者有點(diǎn)賴 - -！，很多地方處理不夠精細(xì)，并且硬件斷點(diǎn)保護(hù)作者嫌64位麻煩也是沒寫，并且Hook位置不夠深,別人隨便調(diào)用個(gè)64位API就檢測到了。

titanHide: 在64位系統(tǒng)上SSDT Hook，首先用戶就要去過一遍PG了，而且處理的地方也不多。

以上插件各有其優(yōu)缺點(diǎn)，就是找不到一個(gè)完美點(diǎn)的，且現(xiàn)在越來越多的64位系統(tǒng)，在64位系統(tǒng)上沒能找到一款順手插件導(dǎo)致被很多軟件anti到,故編寫了SharpOD x64插件。。

SharpOD x64主要實(shí)現(xiàn)是向wow64進(jìn)程，注入純64位code，并且hook ntdll64 api來實(shí)現(xiàn)的，這樣做要比Hook wow64cpu!Wow64Transition要底層的多。

功能說明

->Hide PEB (重載程序生效)

隱藏PEB，處理掉以下特征

peb.BeingDebugged & wow64.peb64.BeingDebugged

peb.NtGlobalFlag & wow64.peb64.NtGlobalFlag

peb.processHeap.HeapFlags & wow64.peb64.processHeap.HeapFlags

peb.processHeap.ForceFlags & wow64.peb64.processHeap.ForceFlags

-> Change Caption (重啟調(diào)試器生效)

無力吐槽的功能，恕我直言，一切帶特征的反調(diào)試都是不安全的。

而這個(gè)功能就是在改變調(diào)試器窗口標(biāo)題、菜單名稱來防止小學(xué)生的枚舉窗口以及菜單檢測。

-> Hide Process (重載程序生效)

隱藏進(jìn)程功能，只針對正在調(diào)試的進(jìn)程，在NtQuerySystemInformation斷鏈

-> Fake ParentProcess (重載程序生效)

修改父進(jìn)程標(biāo)識符，調(diào)試的進(jìn)程父進(jìn)程會變成explorer.exe的，如果取不到explorer.exe 的pid，則會把父進(jìn)程變成4.

-> Drag Attach (重啟調(diào)試器生效)

感覺這個(gè)是最給力的更新了，只要拖動(dòng)調(diào)試器左上角的圖標(biāo) 到目標(biāo)窗口上，即可附加進(jìn)程。

->Hook *ZwFunctions (重載程序生效)

Hook Zw系列函數(shù)

這個(gè)處理的東西太多了，以下Nt函數(shù)

NtQuerySystemInformation

SystemKernelDebuggerInformation

SystemProcessInformation

SystemHandleInformation

NtClose

invalid Handle

NtQueryInformationProcess

ProcessBasicInformation

ProcessDebugPort

ProcessDebugObjectHandle

ProcessDebugFlags

NtSetInformationThread

ThreadHideFromDebugger

NtDuplicateObject

NtQueryObject

ObjectTypesInformation -> DebugObject

NtYieldExecution

return STATUS_NO_YIELD_PERFORMED

-> Remove DebugProvileges (重載程序生效)

移除調(diào)試進(jìn)程的調(diào)試權(quán)限

因?yàn)槟J(rèn)情況下進(jìn)程沒有SeDebugPrivilege權(quán)限，調(diào)試時(shí)會從調(diào)試器繼承這個(gè)權(quán)限,以不免有人利用這一點(diǎn)。默認(rèn)不建議開啟

-> VMP 3.1(above) (重載程序生效)

過VMP3.1以上版本的反調(diào)試

VMProtect 3.1版本開始有重大的更新，從這個(gè)版本開始，直接模擬Wow64 調(diào)用syscall進(jìn)入內(nèi)核，32位的系統(tǒng)也是直接調(diào)用特權(quán)指令systnter進(jìn)入內(nèi)核，查詢檢測ProcessDebugObjectHandle，所以在應(yīng)用層幾乎沒有辦法攔截他。

我這里使用了一個(gè)小trick繞過了他的檢測。

-> Protect Drx (重載程序生效)

保護(hù)硬件斷點(diǎn)

ZwSetContextThread

ZwGetContextThread

KiUserExceptionDispatcher -> if Wow64PrepareForException

RtlDispatchException

RtlRestoreContext

->Driver Hook SSDT (重啟調(diào)試器生效)

使用此功能，所有用戶電腦都得去過PatchGuard，非常麻煩，等必要的時(shí)候在加上去。

->Driver Hook ShadowSSDT (重啟調(diào)試器生效)

->Driver Dbg ValidAccessMask (重啟調(diào)試器生效)