首页
论坛
课程
招聘
雪    币: 1816
活跃值: 活跃值 (86)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝

[原创]SharpOD 反反调试插件 v0.6b (增加功能和修复BUG)

2017-7-5 10:32 34425

[原创]SharpOD 反反调试插件 v0.6b (增加功能和修复BUG)

2017-7-5 10:32
34425
 

SharpOD v0.6b 更新说明
1.增加 x64dbg Remove EP Break
2.增加 x64dbg Atti_Atti Attach
3.增加 ollydbg 随机三级菜单标题
4.完善下 VMP3.1(above)功能。
5.修复 x64dbg 以管理员重新启动,窗口消息未还原,崩溃的BUG
6.修复 x64dbg 64位程序与火绒安全软件抢Hook点导致程序崩溃的BUG
7.修复 取explorer.exe 进程PID不到,父进程PID变成4的情况。
9.优化代码

插件说明

简介

SharpOD x64 插件是一款只支持64位系统的(Win7,8,10) 反反调试插件,并且支持x32dbg和x64dbg

前言

个人见解先来谈谈各插件功能
StrongOD:非常优秀的一款插件,几乎完美,因在64位系统加载不上驱动,只能在32位系统上发挥其威力,海风大牛也没时间更新,这真是个悲剧。
PhantOm: 插件精简高效,但使用了SSDT Index硬编码来拦截 wow64cpu!Wow64Transition(32位转64位模式的地方 jmp 0033:xxxxxxxxx)导致兼容性也不是那么的好。
而且处理的东西也非常少,Wow64进程的peb64也没有处理,故导致很多的反调试过不去。
scyllaHide: x64dbg作者开发的一款非常优秀隐藏插件,同上也是Hook wow64cpu!Wow64Transition(32位转64位模式的地方 jmp 0033:xxxxxxxxx),而且处理了非常多的地方。
我看完了scyllaHide的源代码,界面复杂,发现作者有点赖 - -!,很多地方处理不够精细,并且硬件断点保护作者嫌64位麻烦也是没写,并且Hook位置不够深,别人随便调用个64位API就检测到了。
titanHide: 在64位系统上SSDT Hook,首先用户就要去过一遍PG了,而且处理的地方也不多。
以上插件各有其优缺点,就是找不到一个完美点的,且现在越来越多的64位系统,在64位系统上没能找到一款顺手插件导致被很多软件anti到,故编写了SharpOD x64插件。。
SharpOD x64主要实现是向wow64进程 ,注入纯64位code,并且hook ntdll64 api来实现的,这样做要比Hook wow64cpu!Wow64Transition要底层的多。
具体功能请看下面介绍

安装

Ollydbg: 拷贝SharpOD x64.dll 到您的OD插件目录,并且拷贝StrongOD插件到OD插件目录(StrongOD在64位上主要用于修复OD的BUG和非常好用的快捷键)
然后重启调试器在插件菜单中配置
x64dbg: 拷贝对应版本的插件到你的x64dbg插件目录,如64位,拷贝SharpOD x64.dp64文件,然后重启调试器在插件菜单中配置

功能说明

->Hide PEB (重载程序生效)

隐藏PEB,处理掉以下特征
  • peb.BeingDebugged & wow64.peb64.BeingDebugged
  • peb.NtGlobalFlag & wow64.peb64.NtGlobalFlag
  • peb.processHeap.HeapFlags & wow64.peb64.processHeap.HeapFlags
  • peb.processHeap.ForceFlags & wow64.peb64.processHeap.ForceFlags

-> Change Caption (重启调试器生效)

无力吐槽的功能,恕我直言,一切带特征的反调试都是不安全的。  
而这个功能就是在改变调试器 窗口标题、菜单名称 来防止小学生的枚举窗口以及菜单检测。

-> Hide Process (重载程序生效)

隐藏进程功能,只针对正在调试的进程,在NtQuerySystemInformation断链  

-> Fake ParentProcess (重载程序生效)

修改父进程标识符,调试的进程 父进程会变成explorer.exe的,如果取不到explorer.exe 的pid,则会把父进程变成4.

-> Drag Attach (重启调试器生效)

感觉这个是最给力的更新了,只要拖动调试器左上角的图标 到目标窗口上,即可附加进程。  

->Hook *ZwFunctions (重载程序生效)

Hook Zw系列函数
这个处理的东西太多了,以下Nt函数  
NtQuerySystemInformation
  • SystemKernelDebuggerInformation
  • SystemProcessInformation
  • SystemHandleInformation
NtClose
  • invalid Handle
NtQueryInformationProcess
  • ProcessBasicInformation
  • ProcessDebugPort
  • ProcessDebugObjectHandle
  • ProcessDebugFlags
NtSetInformationThread
  • ThreadHideFromDebugger
NtDuplicateObject
NtQueryObject
  • ObjectTypesInformation -> DebugObject
NtYieldExecution
  • return STATUS_NO_YIELD_PERFORMED

-> Remove DebugProvileges (重载程序生效)

移除调试进程的调试权限
因为默认情况下进程没有SeDebugPrivilege权限,调试时会从调试器继承这个权限,以不免有人利用这一点。默认不建议开启  

-> VMP 3.1(above) (重载程序生效)

过VMP3.1以上版本的反调试
VMProtect 3.1版本开始有重大的更新,从这个版本开始,直接模拟Wow64 调用syscall进入内核,32位的系统也是直接调用特权指令systnter进入内核,查询检测ProcessDebugObjectHandle,所以在应用层几乎没有办法拦截他。 
我这里使用了一个小trick绕过了他的检测。 

-> Protect Drx (重载程序生效)

保护硬件断点  
  • ZwSetContextThread
  • ZwGetContextThread
  • KiUserExceptionDispatcher -> if Wow64PrepareForException
  • RtlDispatchException
  • RtlRestoreContext

->Driver Hook SSDT (重启调试器生效)

使用此功能,所有用户电脑都得去过PatchGuard,非常麻烦,等必要的时候在加上去。

->Driver Hook ShadowSSDT (重启调试器生效)

同上  

->Driver Dbg ValidAccessMask (重启调试器生效)

此功能专门针对那些 模仿TP反调试 来清除你的DebugObject->ValidAccessMask ,谁给你的这么大的权力来全局清除我机器的调试对象? 
现象是你的调试器无法拖入任何程序。

->Driver bypass ObjectHook (重启调试器生效)

绕过 object hook,这个保护在 64位系统上用的最多,他可以过滤掉你打开进程的权限。
比如让你无法对目标进程内存读写等。开启这个功能即可绕过这个保护。但好像WIN10系统下会触发PG
  • [SharpOD x64 v0.6更新]

  • 完整的重写架构以及代码,不在和ScyllaHide、PhantOm冲突,比它们更加底层。
  • 支持所有64位系统,不在使用 SSDT Index 硬编码
  • 支持x32dbg、x64dbg

  • [SharpOD x64 历史版本重要更新]

    v0.5c

  • 修复一个调用驱动功能BUG

    v0.5b

  • 重写Hook框架,修复一个死循环BUG
  • 增加了随机 OD窗口菜单、子菜单、全部子窗口标题

    v0.5

  • 增加保护硬件断点
  • 增加过VMP3.1以上的反调试
  • 增加驱动

    v 0.4

  • 加入开关界面显示框,处理窗口标题。

    v0.3

  • 重写Hook框架,支持大多数壳的反调试

    v0.2内测版

  • 支持WIN10系统

    v0.1内测版

  • 一个简单的demo版本


[公告]看雪论坛2020激励机制上线了!多多参与讨论可以获得积分快速升级?

上传的附件:
最新回复 (90)
雪    币: 902
活跃值: 活跃值 (17)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
rrrfff 活跃值 2017-7-5 11:32
2
0
支持
雪    币: 1308
活跃值: 活跃值 (25)
能力值: ( LV13,RANK:920 )
在线值:
发帖
回帖
粉丝
爱琴海 活跃值 13 2017-7-5 11:40
3
0
支持楼主
雪    币: 133
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
小阿弟 活跃值 2017-7-5 11:42
4
0
这个可以有,多谢!!!
雪    币: 304
活跃值: 活跃值 (38)
能力值: ( LV12,RANK:210 )
在线值:
发帖
回帖
粉丝
我是土匪 活跃值 4 2017-7-5 12:15
5
0
支持楼主
雪    币: 8
活跃值: 活跃值 (47)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
sonyps 活跃值 2017-7-5 12:48
6
0
报毒,用不了,能不能把壳去了
雪    币: 3727
活跃值: 活跃值 (75)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
MsScotch 活跃值 2017-7-5 13:05
7
0
一直使用scyllahide+phantom组合,表示  效果很好,
雪    币: 132
活跃值: 活跃值 (35)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
lhb天羽 活跃值 2017-7-5 13:25
8
0

sod的驱动源码在哪里啊

雪    币: 308
活跃值: 活跃值 (11)
能力值: ( LV5,RANK:70 )
在线值:
发帖
回帖
粉丝
lynnux 活跃值 2017-7-5 14:24
9
0

跟这个https://github.com/mrexodia/TitanHide比如何?    

另外话说,难道不禁止patchguard也能用? 加了数字签名(bin里没有发现sys)?  

可以使用额外工具如KPP和UPGDSED来禁止patchguard,这个提醒下用户就可以了。

雪    币: 41
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
怕怕吓一 活跃值 2017-7-5 14:31
10
0
VMProtect还是过不了,环境是win7  x64  ,加的vmpsdk,超级  变异+虚拟
雪    币: 1816
活跃值: 活跃值 (86)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
StriveXjun 活跃值 2017-7-5 14:49
11
0
lynnux 跟这个https://github.com/mrexodia/TitanHide比如何?    另外话说,难道不禁止patc ...
大牛见笑了,目前只是应用层的。跟TianHide没法比。TianHide也是SSDT  Hook,需要过PG很麻烦。
雪    币: 1816
活跃值: 活跃值 (86)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
StriveXjun 活跃值 2017-7-5 14:50
12
0
怕怕吓一 VMProtect还是过不了,环境是win7 x64 ,加的vmpsdk,超级 变异+虚拟
VMP3.1  以上的版本  直接模拟wow64  syscall进内核。目前我这个是过不去。  等我花时间整整。
雪    币: 1816
活跃值: 活跃值 (86)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
StriveXjun 活跃值 2017-7-5 15:00
13
0
lynnux 跟这个https://github.com/mrexodia/TitanHide比如何?    另外话说,难道不禁止patc ...
但我这个处理了很多    scyllahide和phantom  没有处理到的地方。 
雪    币: 308
活跃值: 活跃值 (11)
能力值: ( LV5,RANK:70 )
在线值:
发帖
回帖
粉丝
lynnux 活跃值 2017-7-5 15:19
14
0
StriveXjun 但我这个处理了很多 scyllahide和phantom 没有处理到的地方。 [em_13]
哦哦,脑残了,看到“驱动功能目前有PG会触发蓝屏,暂停使用。”这句,以为不发sys了。
雪    币: 148
活跃值: 活跃值 (78)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
哇咔咔zs 活跃值 2017-7-5 16:21
15
0
附加了下TGP过不去  被检查
雪    币: 41
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
怕怕吓一 活跃值 2017-7-5 18:17
16
0
加油!!
雪    币: 4603
活跃值: 活跃值 (76)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
xie风腾 活跃值 2017-7-5 19:04
17
0
不知道神马问题,OD卡到
雪    币: 4603
活跃值: 活跃值 (76)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
xie风腾 活跃值 2017-7-5 19:06
18
0
可能是设置问题吧,64位系统,过DLL本身的VMP都不行
雪    币: 307
活跃值: 活跃值 (29)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
兴兴 活跃值 2017-7-5 20:12
19
0
雪    币: 744
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
chixiaojie 活跃值 2017-7-6 00:07
20
0
神器,高大上。
雪    币: 221
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
Nocker 活跃值 2017-8-14 09:52
22
0
神器,高大上。
雪    币: 132
活跃值: 活跃值 (35)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
lhb天羽 活跃值 2017-8-14 10:30
23
0
这个真的是神器了
雪    币: 88
活跃值: 活跃值 (25)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
褐眼男子 活跃值 1 2017-9-6 10:20
24
0
神器,VMP3.0居然能直接打开调试
雪    币: 402
活跃值: 活跃值 (11)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
星星当空照 活跃值 2017-9-6 10:47
25
0
这个厉害了,先mark
雪    币: 325
活跃值: 活跃值 (24)
能力值: ( LV7,RANK:110 )
在线值:
发帖
回帖
粉丝
地狱怪客 活跃值 2 2017-9-6 11:08
26
0
厉害厉害了!
雪    币: 1816
活跃值: 活跃值 (86)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
StriveXjun 活跃值 2017-9-16 19:28
27
0
@kanxue  MD编辑器好像还有问题  =  =!
雪    币: 8
活跃值: 活跃值 (47)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
sonyps 活跃值 2017-9-16 19:36
28
0
能否支持下IDA下的调试啊
雪    币: 2312
活跃值: 活跃值 (18)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
邪梦 活跃值 2017-9-16 21:01
29
0
支持一下,
雪    币: 1562
活跃值: 活跃值 (63)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
Rookietp 活跃值 2017-9-18 19:59
30
0
xjun能不能单独弄一个随机标题和菜单的插件.我用其他版本OD.用这个插件,貌似会有很多问题!  比如点击模块alt    +  e  会卡死什么的.
雪    币: 744
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
chixiaojie 活跃值 2017-9-18 23:29
31
0
Rookietp xjun能不能单独弄一个随机标题和菜单的插件.我用其他版本OD.用这个插件,貌似会有很多问题! 比如点击模块alt + e 会卡死什么的.
大牛可以自己写一个的。
雪    币: 1816
活跃值: 活跃值 (86)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
StriveXjun 活跃值 2017-9-19 11:50
32
0
Rookietp xjun能不能单独弄一个随机标题和菜单的插件.我用其他版本OD.用这个插件,貌似会有很多问题! 比如点击模块alt + e 会卡死什么的.
表示我这测试一切正常啊,是不是跟你别的冲突了。用原版OD  +SOD  +我这插件最好。
雪    币: 3
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
btdaodao 活跃值 2017-9-21 00:05
33
0
开了Hide  Process,过了会儿游戏自杀了,SOD的话不会被检测到呢
雪    币: 85
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
wodexinren 活跃值 2017-9-25 20:23
34
0
看起来不错,感谢分享
雪    币: 122
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
yangya 活跃值 2017-9-25 20:45
35
0
很强。
雪    币: 791
活跃值: 活跃值 (66)
能力值: ( LV5,RANK:73 )
在线值:
发帖
回帖
粉丝
bambooqj 活跃值 2017-9-25 21:26
36
0
羡慕俊哥.
雪    币: 204
活跃值: 活跃值 (11)
能力值: ( LV5,RANK:70 )
在线值:
发帖
回帖
粉丝
gkdark 活跃值 1 2017-10-2 19:28
37
0
感谢楼主的分享。
雪    币: 238
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
老道 活跃值 2017-10-9 22:13
38
0
支持  很厉害!加上自动更新好了~
雪    币: 711
活跃值: 活跃值 (45)
能力值: ( LV9,RANK:200 )
在线值:
发帖
回帖
粉丝
房有亮 活跃值 3 2017-10-10 22:02
39
0
不错,看看再说
雪    币: 1
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
转瞬光年 活跃值 2017-10-11 17:08
40
0
感谢楼主的分享
雪    币: 342
活跃值: 活跃值 (111)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
sxpp 活跃值 1 2017-10-11 18:00
41
0
不错,支持
雪    币: 1461
活跃值: 活跃值 (22)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
ggggg 活跃值 2017-10-11 18:25
42
0
楼主,解压密码是啥?
雪    币: 1308
活跃值: 活跃值 (25)
能力值: ( LV13,RANK:920 )
在线值:
发帖
回帖
粉丝
爱琴海 活跃值 13 2017-11-12 23:30
43
0
必须支持,不顶不行。
雪    币: 605
活跃值: 活跃值 (34)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
ugvjewxf 活跃值 2017-11-13 21:25
44
0
有人知道解压密码不?,麻烦告之下
雪    币: 605
活跃值: 活跃值 (34)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
ugvjewxf 活跃值 2017-11-13 21:39
45
0
好吧,密码123,文件名字里面有
雪    币: 216
活跃值: 活跃值 (11)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
ruyi 活跃值 1 2017-11-14 11:05
46
0
复制到插件目录中,不显示,,请问,需要处理哪里?
win10  64    +  x64dbg  2017/10/18
雪    币: 1816
活跃值: 活跃值 (86)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
StriveXjun 活跃值 2017-11-14 11:26
47
0
ruyi 复制到插件目录中,不显示,,请问,需要处理哪里? win10 64 + x64dbg 2017/10/18
你看看log日志里面提示什么。
雪    币: 605
活跃值: 活跃值 (34)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
ugvjewxf 活跃值 2017-11-15 11:08
48
0
替代不了SOD呀,附加游戏会被检测到。          同条件,加了SOD插件就不会被检测到了。      SOD的  Anti  Anti  Attach功能比较厉害
雪    币: 1816
活跃值: 活跃值 (86)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
StriveXjun 活跃值 2017-11-15 11:28
49
0
ugvjewxf 替代不了SOD呀,附加游戏会被检测到。 同条件,加了SOD插件就不会被检测到了。 SOD的 Anti Anti Attach功能比较厉害
感谢反馈,这个功能下个版本我加上去。   
雪    币: 111
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
月光阴影 活跃值 2017-11-17 18:20
50
0
附加之后提示inject  kernel  dll  fail
游客
登录 | 注册 方可回帖
返回