首页
论坛
专栏
课程

[原创] 基于vt反反调试插件

3天前 1925

[原创] 基于vt反反调试插件

3天前
1925
由于编辑发布时总是丢失内容 不再在此更新内容 请直接在github查看最新内容,可能会使用楼层回复形式增添下载文件以及更新事项..
 

github: Mirage

Mirage

驱动已签名,由于使用泄露签名,使用前请关闭杀毒软件。

说明

  1. 基于intel vtx && ept 技术
  2. 不与其它反反调试插件冲突

image

系统支持

  1. win7 x64 ( 6.1.7600)
  2. win10 19h1 x64 (10.0.18362.XXXX)

使用

  1. 使用PDBDownloader.exe下载ntoskrnl.exe文件 (默认在下载在C盘

image

  1. 使用MVConfigBuild.exe生成config.mv配置文件 并将之移动到c盘根目录C:\

    MVConfigBuild.exe C:\symbols\ntkrnlmp.pdb\hashxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx\ntkrnlmp.pdb

image

  1. Mirage.sysMirageV.dp32MirageV.dp64移动到\plugins\目录下

image

  1. 菜单栏-插件-幻境-进入

image

  • 附加

    输入进程id - 点击附加进程 - 点击开启

image

  • 启动调试

    直接点击开启

image

演示

Bn2pqgw32f

当前版本


v20191110

最新版

最新版

更新日志

CHANGELOG



[公告]安全测试和项目外包请将项目需求发到看雪企服平台:https://qifu.kanxue.com

最后于 1天前 被Tennn编辑 ,原因:
上传的附件:
最新回复 (55)
2
0
哎呀呀, 沙发.
nevinhappy 2 3天前
3
0
咱也不懂,咱也不会问。666
Tennn 5 3天前
4
0
逻辑错误 哎呀呀, 沙发.[em_87]

图片描述

Tennn 5 3天前
5
0
我在想那个什么explore要不要加。。。。
还有那个sharedata啥的 驱动安排它后不好调试 既然都双机了就干掉检测代码把
pxhb 2 3天前
6
0
虚拟机不能用的吗,开启失败
Tennn 5 3天前
7
0
pxhb 虚拟机不能用的吗,开启失败[em_13]
可以用 要支持vt 虚拟机 
StriveMario 3天前
8
0
膜拜大佬
StriveMario 3天前
9
0
逻辑错误 哎呀呀, 沙发.[em_87]
好好工作, 还有时间看论坛
Tennn 5 3天前
10
0
已经下了的重新下载 里面我硬编码了一些判断 调试用的 没去掉。。。前面的删了。。
最后于 3天前 被Tennn编辑 ,原因:
Lixinist 1 3天前
11
0
可惜了,win10老版本用不了
12
0
win7 x64 sp1 裸机蓝屏。。。。
Tennn 5 3天前
13
0

因为不支持 图片描述

最后于 3天前 被Tennn编辑 ,原因:
uvbs 3天前
14
0
x64 放到插件文件夹  但是没有显示出来
zjjhszs 3天前
15
0
不知道干什么用,是保护进程,还是破解进程保护。。。。。。    一般度说 反反调试。。   少个反字。。。。。。。。。。
Tennn 5 3天前
16
0
zjjhszs 不知道干什么用,是保护进程,还是破解进程保护。。。。。。 一般度说 反反调试。。 少个反字。。。。。。。。。。
大佬你好 少打了个字...
Tennn 5 3天前
17
0
uvbs x64 放到插件文件夹 但是没有显示出来
.dq64 改成.dp64 在github的release已更新了  这里编辑器比较难用 不好改 上传文件还失败 
最后于 3天前 被Tennn编辑 ,原因:
Lixinist 1 3天前
18
0
dx苹果的心愿 win7 x64 sp1 裸机蓝屏。。。。
我也蓝屏了,win7 64
think8765 3天前
19
0
我也蓝屏了,win10 64
Tennn 5 3天前
20
0
Lixinist 我也蓝屏了,win7 64
开启VT了吗 
Tennn 5 3天前
21
0
think8765 我也蓝屏了,win10 64
19h1吗 有没有打过内核补丁?
Lixinist 1 3天前
22
0
Tennn 开启VT了吗
应该开了,是vm系统里那3个vt选项吗?我测试时插件界面也提示开启成功了,但是没几秒就卡住蓝屏了
Tennn 5 3天前
23
0

图片描述

 

*.vmx文件加一句

hypervisor.cpuid.v0 = "FALSE"
mce.enable = "TRUE"

还有就是是不是原生系统 我的测试系统在itellyou下的

 

我win7、win10都在虚拟机挂了一晚上没问题 win10在真机测试过 没有win7的真机

最后于 3天前 被Tennn编辑 ,原因:
uvbs 3天前
24
0
建议细分下操作系统版本, 
Tennn 5 3天前
25
0
uvbs 建议细分下操作系统版本, 
好建议 其实19h1也有很多子版本  这俩天抽时间在R3做个限制 不符合条件不给加载
mb_qkotfqiz 3天前
26
0
VT驱动最起码要支持所有64位系统。
uvbs 3天前
27
0
Tennn ![图片描述](upload/attach/201911/607869_JDFTYFXPP84SX5U.png) *.vmx文件加一句 ``` hypervisor.cpuid.v0 = ...
Windows 10, Version 1809 (Updated Aug 2019)
Windows 10, Version 1809 (Updated Dec 2018)
Windows 10, Version 1809 (Updated Feb 2019)
Windows 10, Version 1809 (Updated Jan 2019)
Windows 10, Version 1809 (Updated July 2019)
Windows 10, Version 1809 (Updated June 2019)
Windows 10, Version 1809 (Updated March 2019)
Windows 10, Version 1809 (Updated May 2019)
Windows 10, Version 1809 (Updated Oct 2019)
Windows 10, Version 1809 (Updated Sep 2018)
Windows 10, Version 1809 (Updated Sept 2019)
Windows 10, Version 1903
Windows 10, Version 1903 (Updated Aug 2019)
Windows 10, Version 1903 (Updated July 2019)
Windows 10, Version 1903 (Updated June 2019)
Windows 10, Version 1903 (Updated Oct 2019)
Windows 10, Version 1903 (Updated Sept 2019)
Windows 10, Version 1909

itellyou 这么多版本 具体时哪个19h1
uvbs 3天前
28
0

已经是管理员启动还是会出这个
loqich 3天前
29
0
蓝屏了,win10 1809  17763.805
sisess 1 2天前
30
0
很棒,忍不住想给你赞!
killpy 2 2天前
31
0
可以调试游戏吗 谁试过
Tennn 5 2天前
32
0
uvbs Windows 10, Version 1809 (Updated Aug 2019) Windows 10, Version 1809 (Updated Dec 2018) Windows 10 ...
试试新版本:https://github.com/stonedreamforest/Mirage/releases/tag/v20191110

2019-11-10
0. 修复隐藏bug
1. 添加`MVConfigBuild.exe`生成私人配置文件,增强兼容性:`对相应已支持的系统即使在打了内核补丁的情况下可能也支持`。
- 之前支持:
> Microsoft Windows [版本 10.0.18362.**418**] //`19h1`
- 现在支持
>  Microsoft Windows [版本 10.0.18362.**xxx**] //`19h1`

2. 使用前自动检查系统版本、降低蓝屏几率


直接查看最新更新日志: CHANGELOG
最后于 2天前 被Tennn编辑 ,原因:
Tennn 5 2天前
33
0
loqich 蓝屏了,win10 1809 17763.805
这个版本现在不支持
Tennn 5 2天前
34
0
sisess 很棒,忍不住想给你赞!
最后于 2天前 被Tennn编辑 ,原因:
Tennn 5 2天前
35
0
我擦 这编辑器 回复总失败。。
白菜大哥 1天前
36
0
只有一个需求。。可否把功能顺便写在论坛。。。
Tennn 5 1天前
37
0
白菜大哥 只有一个需求。。可否把功能顺便写在论坛。。。
大佬你好 现在可以了 因为编辑器不支持打勾语法 直接贴图了... 后面加其它功能就不在上面更新了
白菜大哥 1天前
38
0
Tennn 大佬你好 现在可以了 因为编辑器不支持打勾语法 直接贴图了... 后面加其它功能就不在上面更新了
不敢不敢。看了下,非常nice,基本vmprotect的反调试都能过了。em…功能的话,不知道能不能再加一个内存隐藏,就是过crc。因为像有些壳,比如securom新版,不能下cc断点很蛋疼,他就是用上一段的代码计算下一段的代码,如果你cc断点了,忘记清除断点,代码hash会变导致路径走错。可否让代码执行起来是被hook的,但是读写,包括push和pop起来又是未hook的。不知道工作量怎么说。
Mxixihaha 1天前
39
0
关注楼主的更新,看样子是又一款很强大的新利器
uvbs 1天前
40
0
白菜大哥 不敢不敢。看了下,非常nice,基本vmprotect的反调试都能过了。em…功能的话,不知道能不能再加一个内存隐藏,就是过crc。因为像有些壳,比如securom新版,不能下cc断点很蛋疼,他就是用 ...
操作系统 哪个版本,能否给个下载源, 我这里试了3个系统 都蓝屏
Tennn 5 1天前
41
0
白菜大哥 不敢不敢。看了下,非常nice,基本vmprotect的反调试都能过了。em…功能的话,不知道能不能再加一个内存隐藏,就是过crc。因为像有些壳,比如securom新版,不能下cc断点很蛋疼,他就是用 ...
像这种加载crc我认为它在加壳时就把要计算的区域就放在硬编码了 :
VOID FUN(){
CRC_START
// DO SOMETHINGS
CRC_END
}
 跟动态加解密( 为了保证稳定性要是单线程 )一个道理 一般不存在大范围使用 ,。 
那么基于以上推测 隐藏在这里似乎没有用 因为它始终要读取这块内存 也不存在使用api获取内存区域,因为目标对它来说是已知的 
你认为呢。。。。

Ept隐藏这块我还没研究 难点在 主要是在兼容性和稳定性上面 工作量不知道 
最后于 1天前 被Tennn编辑 ,原因:
我帅的男人 1天前
42
0
请求支持OD
43
0
Tennn 因为不支持 ![图片描述](upload/tmp/607869_ZJ7J4KZ4BKS2E38.png)
这个准备支持么
Editor 1天前
44
0
mark!
yimingqpa 1 1天前
45
0
要处理CR3和模拟硬断。
tongzeyu 1天前
46
0
这个考虑开源么想学习一下
Tennn 5 1天前
47
0
yimingqpa 要处理CR3和模拟硬断。
多谢大佬提示
Tennn 5 1天前
48
0
dx苹果的心愿 这个准备支持么[em_86]
开issue投票 用的人多就支持
Tennn 5 1天前
49
0
tongzeyu 这个考虑开源么想学习一下
我github所有代码将来都会开源(包括但不限于x64内核inline hook库、 vt hook库、win远控....
最后于 1天前 被Tennn编辑 ,原因:
Tennn 5 1天前
50
0
我帅的男人 请求支持OD

OD 用的人的确挺多... 既然这样的话就投票吧:投票

游客
登录 | 注册 方可回帖
返回