首页
社区
课程
招聘
[转帖]插件使用原则
发表于: 2014-11-22 09:40 11658

[转帖]插件使用原则

2014-11-22 09:40
11658
很多插件更新很快,还是多看看大家的测试经历,如果插件不稳定就使用原版的。另外,推荐几个好的插件网站:看雪论坛无疑是最好的,其次是吾爱破解和一蓑烟雨,几个重要的人物:海风月影(一蓑烟雨)和他的
Make your OllyDbg Strong! - StrongOD Plugin By 海风月影[CUG]

插件问题:

一、插件AdvancedOlly.dll和StrongOD.dll冲突?
OD进程补丁插件AdvancedOlly.dll和 StrongOD v0.14 - 过 VMP 1.64邪恶anti 一起使用会发生冲突。如果一起,调试中程序中断后,再使用Ctrl+G,会导致OD退出,机器蓝屏。

起初以为是程序反调试造成,后来发现任意一个程序都会这样,今天,仔细找了一下,一个一个试发现原来是这两个插件一起造成的,试了几个版本的OD,都会这样。不知道你们的会不会这样?

advancedolly关闭CTRL+G功能就好了.StrongOD有这个功能.

HideDebugger.dll:插件StrongOD.dll和它不兼容,所以不使用它。

OD隐藏插件.dll:插件StrongOD.dll和它不兼容,所以不使用它。

发现这个版本中不选择“非法访问内存”,不能断下来,而其他版本可以呢?
发现是StrongOD插件设置的问题(不选择skip some exceptions),问题解决!

数据窗口没显示(注意是数据窗口没显示数据,不是堆栈窗口没显示数据),那是因为StrongOD的设置问题,大家把“kill bad PE Bug”的勾去掉就可以了!

汉化StrongOD插件的“删除全部断点”功能,“Delete All BreakPoints”修改为“删除全部断点”;

AdvancedOlly.dll插件修改标题解决办法,用OD修改;

如果发现你的OD刚刚载入程序就被关闭,换上新的近1M大小的DbgHelp.dll文件;

OllyDBG的标题汉化问题,使用OD解决;

清空*.ini文件里的[History]
Executable[1]=
......
Executable[0]=
和UDD,还有设置菜单栏中的“窗口”中只有一个窗口PYG;

设置忽略异常范围为:00000000-FFFFFFFF;

[IDAFiPaths],对于工具栏,我们把路径修改一下就可以了;

以前版本的“选项—菜单关联”不能取消关联,现在已经修复;

关联右键取消补丁和乱码纠正(不能屏蔽右键,只能关联右键),现在修复为:用OllyDBG打开(D);

修改美观的“帮助”信息;

PhantOm o_O 主线程3, ?块 -fbi,应该为“主线程, 模块”已经修复;英文版本下是:
main thread, module fbi(正常)
main thr3ad,mOdile fbi(错误)

HideOllyDbg.dll插件最新版本支持自定义OD标题,喜欢的人可以使用,这个版本还不完善,而且我一般不喜欢利用插件来修改标题;要使用的朋友可以选择“指定窗口名称”和“随即窗口名称”,前者一指定就不修改了,后者过几分钟修改一次OD标题;另外,hex标题栏和类名插件完全对抗这种低水平检测,比如类似305E-278EA这样的标题,OD载入程序后, 标题栏和classname都变成这样无法检测的;

/修改成新的图标P,注意有两个地方要修改,一个是快捷按钮,另一个是原/子窗口标题图标;

窗口下只保留一项 cpu 打勾!

PuntosMagicos.dll:万能断点,插件运行需要msvbvm60.dll支持,否则提示“没有dll文件”;把msvbvm60.dll文件放到system32目录下,还不行的话注册下DLL文件。注册方法:在运行栏里输入类似“regsvr32.exe /s %C:\HEdit%\HEditSX.dll”的命令完成注册,regsvr32 /u取消注册。注册dll或者ocx利用regsvr32命令。

“PhantOm.dll”设置,勾选下面几项:
hide from PEB、protect DRx、path ODString &FPU bugs上三项;
remove EP break、custom handler exceptions、change Olly caption中三项;
load driver、hook NtSetContextThread、hook RDTSC下三项;
保存后在重启OllyDBG即可!

堆栈窗口“SE处理程序”汉化:
“SE 处理程序”,一般不好找,只找“处理程序”;部分软件是“处理器”;
修改方法:
工具:UltraEdit-32,Ctral+F查找,选择“ASCII”;
查找:“处理程序”,找到上文“SEH 记录的指针、SE处理程序、返回到”;替换成“SE句柄BE E4 B1 FA”,多余字节用00填充,注意字节间有空格;

SE处理程序汉化成句柄、堆栈美化,有栏
借用Fly方案,单独设置一个“堆栈方案”,方案和Fly基本相似,只是“颜色”设置中的“分隔线”设置成无或者灰线。

IDAFicator.dll:一个添加自定义工具的插件
添加工具拦.dll:类似IDAFicator,但不会修改顺序
OD工具栏管理.dll:多出一个工具栏
IsDebug V1.4.dll:isdebugpresent 英文
OllyDump V2.21.dll:Ollydump英文
OllyHelper.dll:使Olly启用变慢
Bookmark.dll:书签(重复)
ollydbg.ini:配置信息(包含界面的颜色等)
AdvancedOlly.dll:这个插件不能省略(启动会失败)[使用了StrongOD.dll,则要关闭AdvancedOlly.dll的CTRL+G功能]
PhantOm.dll:配合AdvancedOlly.dll使用,没它标题会变成“-”(两者选一)
OD隐藏插件.dll:配合AdvancedOlly.dll使用,没它标题会变成“-”(两者选一)
StrongOD.dll:功能强大的插件,包括隐藏OD(不修改标题),配合PhantOm.dll进行设置。
HideDebugger.dll:插件StrongOD.dll和它不兼容,所以不使用它。
ollyperl.dll:出错
advancedolly.dll 变形壳出现“莫名其妙”的异常时候,按F9直接跑飞,不能到达INT3(后面有解决法)
HideDebugger.dll 变形壳出现“莫名其妙”的异常时候,按F9直接跑飞,不能到达INT3
HideOD.dll 变形壳出现“莫名其妙”的异常时候,按F9直接跑飞,不能到达INT3
OD隐藏.dll 变形壳出现“莫名其妙”的异常时候,按F9直接跑飞,不能到达INT3
PuntosMagicos.dll:万能断点,插件运行需要msvbvm60.dll支持,否则提示“没有dll文件”;把msvbvm60.dll文件放到system32目录下,还不行的话注册下DLL文件。注册方法:在运行栏里输入类似“regsvr32.exe /s %C:\HEdit%\HEditSX.dll”的命令完成注册,regsvr32 /u取消注册。注册dll或者ocx利用regsvr32命令。
-----------------------------------------
堆栈中“错误”显示调试(附图):
“错误”显示:
0012ECB4   0042C70E  fbi11.0042C70E
0012ECB8   FFFFFFFF
0012ECBC   FFFFFFFF
0012ECC0   00000000
0012ECC4   0042C6FB  fbi11.0042C6FB
0012ECC8   00480DB9  返回到 fbi11.00480DB9 来自 fbi11.0042C6F0
0012ECCC   0012F280  指向下一个 SEH 记录的指针
0012ECD0   00481080  SE 处理器

“正确”显示:
0012ECB4  |0042C70E  返回到 fbi11.0042C70E 来自 fbi11.0042C618
0012ECB8  |FFFFFFFF
0012ECBC  |FFFFFFFF
0012ECC0  |00000000
0012ECC4  |0042C6FB  返回到 fbi11.0042C6FB 来自 fbi11.0042C6FC
0012ECC8  |00480DB9  返回到 fbi11.00480DB9 来自 fbi11.0042C6F0
0012ECCC  |0012F280  指向下一个 SEH 记录的指针
0012ECD0  |00481080  SE 处理器
☆☆☆☆☆☆☆☆☆☆☆☆☆
原版的“*.ini”文件中:
codebasefix=1 ;1

[Fonts]
Font[1]=-14,0,400,0,0,0,134,1,49,0 ;-14
Face name[1]=新宋体
Font name[1]=Terminal 6
把它修改成:
codebasefix=0 ;0

[Fonts]
Font[1]=-12,0,400,0,0,0,134,1,49,0 ;-12
Face name[1]=新宋体
Font name[1]=Terminal 6
把-14修改成-12就行了
-----------------------------------------
advancedolly.dll调试:
反调试:防止反挂接、zwqueryinformationprocess(去勾就可以了)、gettickcount
HideDebugger.dll(隐藏调试器)调试:
unhandled excepton tricks(勾去掉就可以了)
-----------------------------------------
添加的工具:
记事本
计算器
LordPE
破解计算器
破文生成器
函数代码查询器
Relox修复重定位
ImportREC_fix_HH汉化
-----------------------------------------
改变颜色的几行代码:
[Colours]
Scheme[0]=0,12,8,15,14,9,9,13
Scheme name[0]=白底黑字
Scheme[1]=14,12,7,1,3,7,3,13
Scheme name[1]=蓝底黄字
Scheme[2]=1,12,3,11,14,2,7,13
Scheme name[2]=海军蓝
Scheme[3]=15,12,7,0,8,11,7,13
Scheme name[3]=普通黑
Scheme[4]=9,12,3,11,14,12,12,12
Scheme name[4]=方案 4
Scheme[5]=14,12,7,1,3,7,3,13
Scheme name[5]=方案 5
Scheme[6]=1,12,3,15,14,9,9,12
Scheme name[6]=fly的方案
Scheme[7]=15,12,7,0,8,11,7,13
Scheme name[7]=方案 7
-----------------------------------------
改变字体的几行代码:
[Fonts]
Font[0]=16,8,400,0,0,0,134,2,49,0
Face name[0]=Terminal
Font name[0]=OEM 等宽字体
Font[1]=-14,0,400,0,0,0,134,1,49,0
Face name[1]=新宋体
Font name[1]=Terminal 6
Font[2]=16,8,400,0,0,0,134,2,49,0
Face name[2]=Fixedsys
Font name[2]=系统等宽字体
Font[3]=14,0,400,0,0,0,1,2,5,0
Face name[3]=Courier New
Font name[3]=Courier (UNICODE)
Font[4]=10,6,400,0,0,0,1,2,5,0
Face name[4]=Lucida Console
Font name[4]=Lucida (UNICODE)
Font[5]=9,6,700,0,0,0,255,0,48,0
Face name[5]=Terminal
Font name[5]=字体 5
Font[6]=16,8,400,0,0,0,134,2,49,0
Face name[6]=Fixedsys
Font name[6]=字体 6
Font[7]=14,0,400,0,0,0,1,2,5,0
Face name[7]=Courier New
Font name[7]=字体 7
-----------------------------------------
改变高亮显示:
[Syntax]
Commands[0]=0,0,0,0,0,0,0,0,0,0,0,0,0,0
Operands[0]=0,0,0,0,0,0,0,0,0,0,0,0,0,0
Scheme name[0]=不高亮
Commands[1]=0,4,124,112,9,64,64,13,111,8,12,0,0,0
Operands[1]=1,0,4,13,65,1,112,6,0,0,0,0,0,0
Scheme name[1]=圣诞树
Commands[2]=0,0,124,112,0,64,64,0,96,0,0,0,0,0
Operands[2]=0,0,0,0,0,0,0,0,0,0,0,0,0,0
Scheme name[2]=跳转及调用
Commands[3]=0,0,0,0,0,0,0,0,0,0,0,0,0,0
Operands[3]=0,0,0,0,0,0,0,0,0,0,0,0,0,0
Scheme name[3]=高亮 3
Commands[4]=0,0,0,0,0,0,0,0,0,0,0,0,0,0
Operands[4]=0,0,0,0,0,0,0,0,0,0,0,0,0,0
Scheme name[4]=高亮 4

fly方案:
Commands[1]=0,4,92,108,9,64,66,13,111,8,12,0,0,0
Operands[1]=1,0,4,13,65,1,112,6,0,0,0,0,0,0
Scheme name[1]=圣诞树
Commands[2]=0,0,124,124,0,64,92,0,96,0,12,0,0,0
Operands[2]=1,0,0,0,0,0,0,0,0,0,0,0,0,0
Scheme name[2]=跳转和调用

吾爱破解版:
[Syntax]
Commands[1]=10,7,12,12,14,12,12,13,96,7,14,0,0,0
Operands[1]=1,7,7,7,13,14,10,11,0,0,0,0,0,0
Scheme name[1]=Dave
Commands[2]=1,1,1,1,1,1,1,4,109,12,12,0,0,0
Operands[2]=1,1,2,4,12,2,2,5,0,0,0,0,0,0
Scheme name[2]=Fancy Nico
Commands[3]=14,4,124,124,9,110,64,13,111,8,12,0,0,0
Operands[3]=1,10,4,13,11,13,15,6,0,0,0,0,0,0
Scheme name[3]=Kostya's xmas tree
Commands[4]=7,7,2,12,6,12,10,13,96,7,14,0,0,0
Operands[4]=1,7,7,7,13,7,10,11,0,0,0,0,0,0
Scheme name[4]=Dami
Commands[5]=0,0,0,0,0,0,0,0,0,0,0,0,0,0
Operands[5]=0,0,0,0,0,0,0,0,0,0,0,0,0,0
Scheme name[5]=No highlighting
Commands[0]=0,0,0,0,0,0,0,0,0,0,0,0,0,0
Operands[0]=0,0,0,0,0,0,0,0,0,0,0,0,0,0
Scheme name[0]=No highlighting
-----------------------------------------
[系统]高亮设置方法:
先选择一个设置,比如“圣诞树”;然后点它下面的每个选项,选择“文本颜色”和“背景颜色”。

Commands[1]=0(每段首字节黄色),4,124,124(call颜色代码),9,64(call颜色代码),64,13,111,8,12,0,0,0
Operands[1]=1,0,4,13,65,1,112,6,0,0,0,0,0,0
Scheme name[1]=圣诞树
-----------------------------------------
堆栈窗口“SE处理程序”汉化:
“SE 处理程序”,一般不好找,只找“处理程序”;部分软件是“处理器”;
修改方法:
工具:UltraEdit-32,Ctral+F查找,选择“ASCII”;
查找:“处理程序”,找到上文“SEH 记录的指针、SE处理程序、返回到”;替换成“SE句柄BE E4 B1 FA”,多余字节用00填充,注意字节间有空格;

SE处理程序汉化成句柄、堆栈美化,有栏
借用Fly方案,单独设置一个“堆栈方案”,方案和Fly基本相似,只是“颜色”设置中的“分隔线”设置成无或者灰线。
-----------------------------------------
汉化工具:ResHacker 3.5、eXeScope6.50【汉化绿色单文件版 残刃制作】、Restorator、PeXplorer吾爱破解特别版;

汉化方法:用资源工具查找不到,在C32ASM中搜索“吾爱破解”找到后替换成你想改的,那是不是易语言写的,易语言用resScope也找不到资源,估计这个汉化标题的有人动手脚了,用C32ASM搜索ASCII码和UNICODE码都找不到,先切换到HEX资源然后Ctrl+F,那你先运行软件,然后用WINHEX载入你那个软件的全部内存,再查找一下试,如果能找到说明你的软件还是有壳的,你用C32ASM找不到,用WINHEX能找到说明软件还是有壳的,那你要先脱壳,但是查不出壳,有时它很会伪装的。

破解方法:先用WINHEX载入软件的整个内存,Ctrl+F查找文本ASCII码,输入“吾爱破解”,可以查找到多个,注意这里不要直接修改内存,复制-16进制复制它的地址,然后用FlexHEX查找地址,Ctral+F,选择16进制字节,输入地址,每个字节都空一格,如:“吾爱破解” CE E1 B0 AE C6 C6 BD E2 (000B5FE0),直接修改即可。使用“文本转16进工具”进行转换。
    也可以不使用WINHEX载入软件,直接用“文本转16进工具”将“吾爱破解”转换为16进制,然后FlexHEX查找相应地址。

-----------------------------------------
汉化OllyDBG标题:
用的程序是“吾爱破解专用版”,先用“文本转16进工具”将原来的标题“吾爱破解”转换为16进制,然后用FlexHEX查找地址(CE E1 B0 AE C6 C6 BD E2),Ctral+F查找,可以查找到三处,只修改第一处和第三处,修改成^0^-Fly(5E 30 5E 2D 46 6C 79 00),就可以了。

标题的加载顺序是:先加载“吾爱破解专用版OllyDBG”本身的标题,然后加载“OD隐藏插件.dll”里的;打开调试软件后,先加载“-”无名称的,然后再加载“OD隐藏插件.dll”里的。

所以这里我们也要修改“OD隐藏插件.dll”里的代码。

“OD隐藏插件.dll”里的默认是“ICE(49 43 45)”,我们查找它,可以找到三处,只修改第一处和第三处就可以了。

或者修改“PhantOm.dll”的插件,FlexHEX查找地址(50 68 61 6E 74 4F 6D),选择第四个地址修改。附近(上方代码)“Status: PEB patched [on pause]”;

两者比较:“PhantOm.dll”速度更快,比“OD隐藏插件.dll”要好!
但是“PhantOm.dll”要进行设置,勾选下面几项:
hide from PEB、protect DRx、path ODString &FPU bugs上三项;
remove EP break、custom handler exceptions、change Olly caption中三项;
load driver、hook NtSetContextThread、hook RDTSC下三项;
保存后在重启OllyDBG即可!

这里我把需要修改的部分全部修改为:^0^-Fly(5E 30 5E 2D 46 6C 79)了,以后要修改,就查找这个16进制就可以了。

“PhantOm.dll”在修改标题的时候会有瑕疵,比如“主要线程3,?块”,而正确的“主要线程,模块”,所以我们要找到“Ph@nt0m   >> Status: Caption changed”,把他后面的第五个3改成FF就可以了。
-----------------------------------------
Disassemble in lowercase=1 代码小写,如要大写,可以修改为0

Global search=1 默认为0

Last selected options card=3
Last selected appearance card=4
Ignore case in text search=0

[Placement]
OllyTest=0,0,1024,746,1
CPU=0,2,721,624,3
CPU subwindows=601,863,595,863,410,727,357,655
记录数据=204,116,376,287,1
Breakpoints=292,177,629,379,1

[Appearance]
CPU scheme=0
CPU Disassembler=2,0,1,0,1
CPU Dump=2,0,1,0,4353,2
CPU Stack=2,0,1,0
CPU Info=2,0,0,0
CPU Registers=2,0,1,0

[Columns]
CPU Disassembler=72,136,320,2048
CPU Dump=72,384,136
CPU Stack=72,80,2048

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (4)
雪    币: 4938
活跃值: (977)
能力值: ( LV9,RANK:175 )
在线值:
发帖
回帖
粉丝
2
多谢分享,很多
2014-11-22 10:09
0
雪    币: 11
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
很多插件不明所以,楼主总结得 很详细 ,thx
2015-10-14 17:22
0
雪    币: 49
活跃值: (1720)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
4
非常感谢你的详细解答。
2016-11-5 19:25
0
雪    币: 221
活跃值: (44)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
虽然不是很懂  也过来顶一下
2017-4-3 22:41
0
游客
登录 | 注册 方可回帖
返回
//