[原创]SharpOD 反反调试插件 v0.6b (增加功能和修复BUG)-x64dbg插件区-看雪-安全社区|安全招聘|kanxue.com

170

[原创]SharpOD 反反调试插件 v0.6b (增加功能和修复BUG)

发表于: 2017-7-5 10:32 65615

[原创]SharpOD 反反调试插件 v0.6b (增加功能和修复BUG)

StriveXjun 活跃值

2017-7-5 10:32

65615

SharpOD v0.6b 更新说明
1.增加 x64dbg Remove EP Break
2.增加 x64dbg Atti_Atti Attach
3.增加 ollydbg 随机三级菜单标题
4.完善下 VMP3.1(above)功能。
5.修复 x64dbg 以管理员重新启动，窗口消息未还原，崩溃的BUG
6.修复 x64dbg 64位程序与火绒安全软件抢Hook点导致程序崩溃的BUG
7.修复取explorer.exe 进程PID不到，父进程PID变成4的情况。
9.优化代码

支持x32dbg、x64dbg

1	`隐藏PEB，处理掉以下特征`

1 2	`无力吐槽的功能，恕我直言，一切带特征的反调试都是不安全的。` `而这个功能就是在改变调试器窗口标题、菜单名称来防止小学生的枚举窗口以及菜单检测。`

1	`隐藏进程功能，只针对正在调试的进程，在NtQuerySystemInformation断链`

1	`修改父进程标识符，调试的进程父进程会变成explorer.exe的，如果取不到explorer.exe 的pid，则会把父进程变成4.`

1	`感觉这个是最给力的更新了，只要拖动调试器左上角的图标到目标窗口上，即可附加进程。`

1 2	`Hook Zw系列函数` `这个处理的东西太多了，以下Nt函数`

1 2	`移除调试进程的调试权限` `因为默认情况下进程没有SeDebugPrivilege权限，调试时会从调试器继承这个权限,以不免有人利用这一点。默认不建议开启`

过VMP3.1以上版本的反调试
VMProtect 3.1版本开始有重大的更新，从这个版本开始，直接模拟Wow64 调用syscall进入内核，32位的系统也是直接调用特权指令systnter进入内核，查询检测ProcessDebugObjectHandle，所以在应用层几乎没有办法拦截他。 
我这里使用了一个小trick绕过了他的检测。 

保护硬件断点

1	`使用此功能，所有用户电脑都得去过PatchGuard，非常麻烦，等必要的时候在加上去。`

1 2	`此功能专门针对那些模仿TP反调试来清除你的DebugObject->ValidAccessMask ,谁给你的这么大的权力来全局清除我机器的调试对象?` `现象是你的调试器无法拖入任何程序。`

1 2	`绕过` `object` `hook，这个保护在` `64位系统上用的最多，他可以过滤掉你打开进程的权限。` `比如让你无法对目标进程内存读写等。开启这个功能即可绕过这个保护。但好像WIN10系统下会触发PG`

peb.BeingDebugged & wow64.peb64.BeingDebugged
peb.NtGlobalFlag & wow64.peb64.NtGlobalFlag
peb.processHeap.HeapFlags & wow64.peb64.processHeap.HeapFlags
peb.processHeap.ForceFlags & wow64.peb64.processHeap.ForceFlags

SystemKernelDebuggerInformation
SystemProcessInformation
SystemHandleInformation

invalid Handle

ProcessBasicInformation
ProcessDebugPort
ProcessDebugObjectHandle
ProcessDebugFlags

ThreadHideFromDebugger

ObjectTypesInformation -> DebugObject

return STATUS_NO_YIELD_PERFORMED

ZwSetContextThread
ZwGetContextThread
KiUserExceptionDispatcher -> if Wow64PrepareForException
RtlDispatchException
RtlRestoreContext

[SharpOD x64 v0.6更新]
完整的重写架构以及代码,不在和ScyllaHide、PhantOm冲突，比它们更加底层。
支持所有64位系统，不在使用 SSDT Index 硬编码
支持x32dbg、x64dbg
[SharpOD x64 历史版本重要更新]

v0.5c
修复一个调用驱动功能BUG
v0.5b
重写Hook框架，修复一个死循环BUG
增加了随机 OD窗口菜单、子菜单、全部子窗口标题
v0.5
增加保护硬件断点
增加过VMP3.1以上的反调试
增加驱动
v 0.4
加入开关界面显示框，处理窗口标题。
v0.3
重写Hook框架，支持大多数壳的反调试
v0.2内测版
支持WIN10系统
v0.1内测版
一个简单的demo版本

peb.BeingDebugged & wow64.peb64.BeingDebugged

peb.NtGlobalFlag & wow64.peb64.NtGlobalFlag

peb.processHeap.HeapFlags & wow64.peb64.processHeap.HeapFlags

peb.processHeap.ForceFlags & wow64.peb64.processHeap.ForceFlags

SystemKernelDebuggerInformation

登录后可查看完整内容

[注意]看雪招聘，专注安全领域的专业人才平台！

上传的附件：

SharpOD x64 v0.6b-password[123].rar （1.05MB，7596次下载）

收藏・170

免费・22

支持

赞赏记录

参与人

雪币

留言

时间

xi@0ji233

为你点赞！

2024-12-12 18:10

心游尘世外

感谢你的贡献，论坛因你而更加精彩！

2024-12-6 04:12

逆向萌新出街

你的帖子非常有用，感谢分享！

2024-11-27 21:07

程序原

你的分享对大家帮助很大，非常感谢！

2024-7-16 07:52

飘零丶

为你点赞！

2024-7-10 06:40

shinratensei

感谢你的贡献，论坛因你而更加精彩！

2024-7-9 05:34

nulles

为你点赞~

2024-2-18 00:22

PLEBFE

为你点赞~

2023-2-12 04:44

不懂就乐

为你点赞~

2023-2-10 15:05

naMedoc

为你点赞~

2023-1-20 11:15

Hurrison

为你点赞~

2022-3-27 09:42

信仰9527

为你点赞~

2021-7-25 14:17

yjd

为你点赞~

2021-6-25 16:19

mb_crmhrava

为你点赞~

2021-6-24 19:53

月社妃

为你点赞~

2021-5-1 18:42

gogogodo

为你点赞~

2021-3-27 00:34

fxyang

为你点赞~

2021-1-7 14:31

sinkay

为你点赞~

2020-6-21 21:03

wx_怪兽老了啊

为你点赞~

2020-4-13 22:10

愁烟

为你点赞~

2020-4-13 08:39

flamepeak

为你点赞~

2020-3-11 16:02

来啦老弟

为你点赞~

2019-5-10 22:33

最新回复 (106) 1 2 3 4 5 ▶
Rprop 雪币： 878 活跃值： (496) 能力值： ( LV3，RANK：20 ) 在线值：发帖 35 回帖 743 粉丝 13 关注私信	Rprop 2 楼支持 2017-7-5 11:32 0
爱琴海雪币： 1355 活跃值： (344) 能力值： ( LV13，RANK：920 ) 在线值：发帖 74 回帖 660 粉丝 7 关注私信	爱琴海 13 3 楼支持楼主 2017-7-5 11:40 0
小阿弟雪币： 135 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 234 粉丝 0 关注私信	小阿弟 4 楼这个可以有，多谢！！！ 2017-7-5 11:42 0
我是土匪雪币： 412 活跃值： (1973) 能力值： ( LV12，RANK：210 ) 在线值：发帖 75 回帖 787 粉丝 8 关注私信	我是土匪 4 5 楼支持楼主 2017-7-5 12:15 0
sonyps 雪币： 5023 活跃值： (5818) 能力值： ( LV4，RANK：40 ) 在线值：发帖 33 回帖 375 粉丝 30 关注私信	sonyps 6 楼报毒，用不了，能不能把壳去了 2017-7-5 12:48 0
MsScotch 雪币： 3370 活跃值： (2326) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 343 粉丝 5 关注私信	MsScotch 7 楼一直使用scyllahide+phantom组合，表示效果很好， 2017-7-5 13:05 0
lhb天羽雪币： 25 活跃值： (567) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 148 粉丝 0 关注私信	lhb天羽 8 楼 sod的驱动源码在哪里啊 2017-7-5 13:25 0
lynnux 雪币： 3893 活跃值： (2222) 能力值： ( LV6，RANK：93 ) 在线值：发帖 25 回帖 384 粉丝 19 关注私信	lynnux 9 楼跟这个https://github.com/mrexodia/TitanHide比如何？另外话说，难道不禁止patchguard也能用？加了数字签名(bin里没有发现sys)？可以使用额外工具如KPP和UPGDSED来禁止patchguard，这个提醒下用户就可以了。 2017-7-5 14:24 0
怕怕吓一雪币： 41 活跃值： (100) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 20 粉丝 0 关注私信	怕怕吓一 10 楼 VMProtect还是过不了，环境是win7 x64 ,加的vmpsdk,超级变异+虚拟 2017-7-5 14:31 0
StriveXjun 雪币： 1044 活跃值： (1360) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 214 粉丝 72 关注私信	StriveXjun 11 楼 lynnux 跟这个https://github.com/mrexodia/TitanHide比如何？    另外话说，难道不禁止patc ... 大牛见笑了，目前只是应用层的。跟TianHide没法比。TianHide也是SSDT Hook，需要过PG很麻烦。 2017-7-5 14:49 0
StriveXjun 雪币： 1044 活跃值： (1360) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 214 粉丝 72 关注私信	StriveXjun 12 楼怕怕吓一 VMProtect还是过不了，环境是win7 x64 ,加的vmpsdk,超级变异+虚拟 VMP3.1 以上的版本直接模拟wow64 syscall进内核。目前我这个是过不去。等我花时间整整。 2017-7-5 14:50 0
StriveXjun 雪币： 1044 活跃值： (1360) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 214 粉丝 72 关注私信	StriveXjun 13 楼 lynnux 跟这个https://github.com/mrexodia/TitanHide比如何？    另外话说，难道不禁止patc ... 但我这个处理了很多 scyllahide和phantom 没有处理到的地方。 2017-7-5 15:00 0
lynnux 雪币： 3893 活跃值： (2222) 能力值： ( LV6，RANK：93 ) 在线值：发帖 25 回帖 384 粉丝 19 关注私信	lynnux 14 楼 StriveXjun 但我这个处理了很多 scyllahide和phantom 没有处理到的地方。 [em_13] 哦哦，脑残了，看到“驱动功能目前有PG会触发蓝屏，暂停使用。”这句，以为不发sys了。 2017-7-5 15:19 0
哇咔咔zs 雪币： 130 活跃值： (1005) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 443 粉丝 3 关注私信	哇咔咔zs 15 楼附加了下TGP过不去被检查 2017-7-5 16:21 0
怕怕吓一雪币： 41 活跃值： (100) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 20 粉丝 0 关注私信	怕怕吓一 16 楼加油！！ 2017-7-5 18:17 0
xie风腾雪币： 13161 活跃值： (5863) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 1074 粉丝 5 关注私信	xie风腾 17 楼不知道神马问题，OD卡到 2017-7-5 19:04 0
xie风腾雪币： 13161 活跃值： (5863) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 1074 粉丝 5 关注私信	xie风腾 18 楼可能是设置问题吧，64位系统，过DLL本身的VMP都不行 2017-7-5 19:06 0
xxdisasm 雪币： 202 活跃值： (749) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 92 粉丝 22 关注私信	xxdisasm 19 楼 2017-7-5 20:12 0
chixiaojie 雪币： 3411 活跃值： (2127) 能力值： ( LV2，RANK：10 ) 在线值：发帖 91 回帖 1357 粉丝 3 关注私信	chixiaojie 20 楼神器，高大上。 2017-7-6 00:07 0
Nocker 雪币： 221 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	Nocker 22 楼神器，高大上。 2017-8-14 09:52 0
lhb天羽雪币： 25 活跃值： (567) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 148 粉丝 0 关注私信	lhb天羽 23 楼这个真的是神器了 2017-8-14 10:30 0
褐眼男子雪币： 60 活跃值： (469) 能力值： ( LV5，RANK：65 ) 在线值：发帖 75 回帖 308 粉丝 5 关注私信	褐眼男子 1 24 楼神器,VMP3.0居然能直接打开调试 2017-9-6 10:20 0
星星当空照雪币： 206 活跃值： (108) 能力值： ( LV6，RANK：90 ) 在线值：发帖 6 回帖 55 粉丝 2 关注私信	星星当空照 25 楼这个厉害了，先mark 2017-9-6 10:47 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

StriveXjun

发帖

214

回帖

RANK

关注

私信

[SharpOD x64 v0.6更新]
[SharpOD x64 历史版本重要更新]

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (106) 1 2 3 4 5 ▶
Rprop 雪币： 878 活跃值： (496) 能力值： ( LV3，RANK：20 ) 在线值：发帖 35 回帖 743 粉丝 13 关注私信	Rprop 2 楼支持 2017-7-5 11:32 0
爱琴海雪币： 1355 活跃值： (344) 能力值： ( LV13，RANK：920 ) 在线值：发帖 74 回帖 660 粉丝 7 关注私信	爱琴海 13 3 楼支持楼主 2017-7-5 11:40 0
小阿弟雪币： 135 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 234 粉丝 0 关注私信	小阿弟 4 楼这个可以有，多谢！！！ 2017-7-5 11:42 0
我是土匪雪币： 412 活跃值： (1973) 能力值： ( LV12，RANK：210 ) 在线值：发帖 75 回帖 787 粉丝 8 关注私信	我是土匪 4 5 楼支持楼主 2017-7-5 12:15 0
sonyps 雪币： 5023 活跃值： (5818) 能力值： ( LV4，RANK：40 ) 在线值：发帖 33 回帖 375 粉丝 30 关注私信	sonyps 6 楼报毒，用不了，能不能把壳去了 2017-7-5 12:48 0
MsScotch 雪币： 3370 活跃值： (2326) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 343 粉丝 5 关注私信	MsScotch 7 楼一直使用scyllahide+phantom组合，表示效果很好， 2017-7-5 13:05 0
lhb天羽雪币： 25 活跃值： (567) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 148 粉丝 0 关注私信	lhb天羽 8 楼 sod的驱动源码在哪里啊 2017-7-5 13:25 0
lynnux 雪币： 3893 活跃值： (2222) 能力值： ( LV6，RANK：93 ) 在线值：发帖 25 回帖 384 粉丝 19 关注私信	lynnux 9 楼跟这个https://github.com/mrexodia/TitanHide比如何？另外话说，难道不禁止patchguard也能用？加了数字签名(bin里没有发现sys)？可以使用额外工具如KPP和UPGDSED来禁止patchguard，这个提醒下用户就可以了。 2017-7-5 14:24 0
怕怕吓一雪币： 41 活跃值： (100) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 20 粉丝 0 关注私信	怕怕吓一 10 楼 VMProtect还是过不了，环境是win7 x64 ,加的vmpsdk,超级变异+虚拟 2017-7-5 14:31 0
StriveXjun 雪币： 1044 活跃值： (1360) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 214 粉丝 72 关注私信	StriveXjun 11 楼 lynnux 跟这个https://github.com/mrexodia/TitanHide比如何？    另外话说，难道不禁止patc ... 大牛见笑了，目前只是应用层的。跟TianHide没法比。TianHide也是SSDT Hook，需要过PG很麻烦。 2017-7-5 14:49 0
StriveXjun 雪币： 1044 活跃值： (1360) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 214 粉丝 72 关注私信	StriveXjun 12 楼怕怕吓一 VMProtect还是过不了，环境是win7 x64 ,加的vmpsdk,超级变异+虚拟 VMP3.1 以上的版本直接模拟wow64 syscall进内核。目前我这个是过不去。等我花时间整整。 2017-7-5 14:50 0
StriveXjun 雪币： 1044 活跃值： (1360) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 214 粉丝 72 关注私信	StriveXjun 13 楼 lynnux 跟这个https://github.com/mrexodia/TitanHide比如何？    另外话说，难道不禁止patc ... 但我这个处理了很多 scyllahide和phantom 没有处理到的地方。 2017-7-5 15:00 0
lynnux 雪币： 3893 活跃值： (2222) 能力值： ( LV6，RANK：93 ) 在线值：发帖 25 回帖 384 粉丝 19 关注私信	lynnux 14 楼 StriveXjun 但我这个处理了很多 scyllahide和phantom 没有处理到的地方。 [em_13] 哦哦，脑残了，看到“驱动功能目前有PG会触发蓝屏，暂停使用。”这句，以为不发sys了。 2017-7-5 15:19 0
哇咔咔zs 雪币： 130 活跃值： (1005) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 443 粉丝 3 关注私信	哇咔咔zs 15 楼附加了下TGP过不去被检查 2017-7-5 16:21 0
怕怕吓一雪币： 41 活跃值： (100) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 20 粉丝 0 关注私信	怕怕吓一 16 楼加油！！ 2017-7-5 18:17 0
xie风腾雪币： 13161 活跃值： (5863) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 1074 粉丝 5 关注私信	xie风腾 17 楼不知道神马问题，OD卡到 2017-7-5 19:04 0
xie风腾雪币： 13161 活跃值： (5863) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 1074 粉丝 5 关注私信	xie风腾 18 楼可能是设置问题吧，64位系统，过DLL本身的VMP都不行 2017-7-5 19:06 0
xxdisasm 雪币： 202 活跃值： (749) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 92 粉丝 22 关注私信	xxdisasm 19 楼 2017-7-5 20:12 0
chixiaojie 雪币： 3411 活跃值： (2127) 能力值： ( LV2，RANK：10 ) 在线值：发帖 91 回帖 1357 粉丝 3 关注私信	chixiaojie 20 楼神器，高大上。 2017-7-6 00:07 0
Nocker 雪币： 221 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	Nocker 22 楼神器，高大上。 2017-8-14 09:52 0
lhb天羽雪币： 25 活跃值： (567) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 148 粉丝 0 关注私信	lhb天羽 23 楼这个真的是神器了 2017-8-14 10:30 0
褐眼男子雪币： 60 活跃值： (469) 能力值： ( LV5，RANK：65 ) 在线值：发帖 75 回帖 308 粉丝 5 关注私信	褐眼男子 1 24 楼神器,VMP3.0居然能直接打开调试 2017-9-6 10:20 0
星星当空照雪币： 206 活跃值： (108) 能力值： ( LV6，RANK：90 ) 在线值：发帖 6 回帖 55 粉丝 2 关注私信	星星当空照 25 楼这个厉害了，先mark 2017-9-6 10:47 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[原创]SharpOD 反反调试插件 v0.6b (增加功能和修复BUG)

[SharpOD x64 v0.6更新]

[SharpOD x64 历史版本重要更新]

v0.5c

v0.5b

v0.5

v 0.4

v0.3

v0.2内测版

v0.1内测版

账号登录 验证码登录

账号登录

验证码登录