[原创]SharpOD 反反调试插件 v0.6b (增加功能和修复BUG)-x64dbg插件区-看雪-安全社区|安全招聘|kanxue.com

[原创]SharpOD 反反调试插件 v0.6b (增加功能和修复BUG)

发表于: 2017-7-5 10:32 64105

[原创]SharpOD 反反调试插件 v0.6b (增加功能和修复BUG)

StriveXjun 活跃值

2017-7-5 10:32

64105

SharpOD v0.6b 更新说明
1.增加 x64dbg Remove EP Break
2.增加 x64dbg Atti_Atti Attach
3.增加 ollydbg 随机三级菜单标题
4.完善下 VMP3.1(above)功能。
5.修复 x64dbg 以管理员重新启动，窗口消息未还原，崩溃的BUG
6.修复 x64dbg 64位程序与火绒安全软件抢Hook点导致程序崩溃的BUG
7.修复取explorer.exe 进程PID不到，父进程PID变成4的情况。
9.优化代码

支持x32dbg、x64dbg

隐藏PEB，处理掉以下特征

无力吐槽的功能，恕我直言，一切带特征的反调试都是不安全的。  
而这个功能就是在改变调试器 窗口标题、菜单名称 来防止小学生的枚举窗口以及菜单检测。

隐藏进程功能，只针对正在调试的进程，在NtQuerySystemInformation断链

修改父进程标识符，调试的进程 父进程会变成explorer.exe的，如果取不到explorer.exe 的pid，则会把父进程变成4.

感觉这个是最给力的更新了，只要拖动调试器左上角的图标 到目标窗口上，即可附加进程。

Hook Zw系列函数
这个处理的东西太多了，以下Nt函数

移除调试进程的调试权限
因为默认情况下进程没有SeDebugPrivilege权限，调试时会从调试器继承这个权限,以不免有人利用这一点。默认不建议开启

过VMP3.1以上版本的反调试
VMProtect 3.1版本开始有重大的更新，从这个版本开始，直接模拟Wow64 调用syscall进入内核，32位的系统也是直接调用特权指令systnter进入内核，查询检测ProcessDebugObjectHandle，所以在应用层几乎没有办法拦截他。 
我这里使用了一个小trick绕过了他的检测。

保护硬件断点

使用此功能，所有用户电脑都得去过PatchGuard，非常麻烦，等必要的时候在加上去。

同上

此功能专门针对那些 模仿TP反调试 来清除你的DebugObject->ValidAccessMask ,谁给你的这么大的权力来全局清除我机器的调试对象? 
现象是你的调试器无法拖入任何程序。

绕过 object hook，这个保护在 64位系统上用的最多，他可以过滤掉你打开进程的权限。
比如让你无法对目标进程内存读写等。开启这个功能即可绕过这个保护。但好像WIN10系统下会触发PG

peb.BeingDebugged & wow64.peb64.BeingDebugged
peb.NtGlobalFlag & wow64.peb64.NtGlobalFlag
peb.processHeap.HeapFlags & wow64.peb64.processHeap.HeapFlags
peb.processHeap.ForceFlags & wow64.peb64.processHeap.ForceFlags

SystemKernelDebuggerInformation
SystemProcessInformation
SystemHandleInformation

invalid Handle

ProcessBasicInformation
ProcessDebugPort
ProcessDebugObjectHandle
ProcessDebugFlags

ThreadHideFromDebugger

ObjectTypesInformation -> DebugObject

return STATUS_NO_YIELD_PERFORMED

ZwSetContextThread
ZwGetContextThread
KiUserExceptionDispatcher -> if Wow64PrepareForException
RtlDispatchException
RtlRestoreContext

[SharpOD x64 v0.6更新]
完整的重写架构以及代码,不在和ScyllaHide、PhantOm冲突，比它们更加底层。
支持所有64位系统，不在使用 SSDT Index 硬编码
支持x32dbg、x64dbg
[SharpOD x64 历史版本重要更新]

v0.5c
修复一个调用驱动功能BUG
v0.5b
重写Hook框架，修复一个死循环BUG
增加了随机 OD窗口菜单、子菜单、全部子窗口标题
v0.5
增加保护硬件断点
增加过VMP3.1以上的反调试
增加驱动
v 0.4
加入开关界面显示框，处理窗口标题。
v0.3
重写Hook框架，支持大多数壳的反调试
v0.2内测版
支持WIN10系统
v0.1内测版
一个简单的demo版本

peb.BeingDebugged & wow64.peb64.BeingDebugged

peb.NtGlobalFlag & wow64.peb64.NtGlobalFlag

peb.processHeap.HeapFlags & wow64.peb64.processHeap.HeapFlags

peb.processHeap.ForceFlags & wow64.peb64.processHeap.ForceFlags

SystemKernelDebuggerInformation

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

SharpOD x64 v0.6b-password[123].rar （1.05MB，7491次下载）

收藏・166

免费・19

支持

赞赏记录

参与人

雪币

留言

时间

程序原

你的分享对大家帮助很大，非常感谢！

2024-7-16 07:52

飘零丶

为你点赞！

2024-7-10 06:40

shinratensei

感谢你的贡献，论坛因你而更加精彩！

2024-7-9 05:34

nulles

为你点赞~

2024-2-18 00:22

一笑人间万事

为你点赞~

2023-2-12 04:44

大雄_RE

为你点赞~

2023-2-10 15:05

naMedoc

为你点赞~

2023-1-20 11:15

Hurrison

为你点赞~

2022-3-27 09:42

信仰9527

为你点赞~

2021-7-25 14:17

yjd

为你点赞~

2021-6-25 16:19

mb_crmhrava

为你点赞~

2021-6-24 19:53

月社妃

为你点赞~

2021-5-1 18:42

gogogodo

为你点赞~

2021-3-27 00:34

fxyang

为你点赞~

2021-1-7 14:31

sinkay

为你点赞~

2020-6-21 21:03

wx_怪兽老了啊

为你点赞~

2020-4-13 22:10

愁烟

为你点赞~

2020-4-13 08:39

flamepeak

为你点赞~

2020-3-11 16:02

来啦老弟

为你点赞~

2019-5-10 22:33

最新回复 (105) 1 2 3 4 5 ▶
Rprop 雪币： 878 活跃值： (496) 能力值： ( LV3，RANK：20 ) 在线值：发帖 35 回帖 743 粉丝 12 关注私信	Rprop 2 楼支持 2017-7-5 11:32 0
爱琴海雪币： 1355 活跃值： (339) 能力值： ( LV13，RANK：920 ) 在线值：发帖 74 回帖 660 粉丝 7 关注私信	爱琴海 13 3 楼支持楼主 2017-7-5 11:40 0
小阿弟雪币： 135 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 234 粉丝 0 关注私信	小阿弟 4 楼这个可以有，多谢！！！ 2017-7-5 11:42 0
我是土匪雪币： 546 活跃值： (1667) 能力值： ( LV12，RANK：210 ) 在线值：发帖 75 回帖 787 粉丝 7 关注私信	我是土匪 4 5 楼支持楼主 2017-7-5 12:15 0
sonyps 雪币： 4522 活跃值： (5154) 能力值： ( LV4，RANK：40 ) 在线值：发帖 33 回帖 371 粉丝 28 关注私信	sonyps 6 楼报毒，用不了，能不能把壳去了 2017-7-5 12:48 0
MsScotch 雪币： 3190 活跃值： (1816) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 338 粉丝 3 关注私信	MsScotch 7 楼一直使用scyllahide+phantom组合，表示效果很好， 2017-7-5 13:05 0
lhb天羽雪币： 25 活跃值： (506) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 145 粉丝 0 关注私信	lhb天羽 8 楼 sod的驱动源码在哪里啊 2017-7-5 13:25 0
lynnux 雪币： 3545 活跃值： (1872) 能力值： ( LV6，RANK：93 ) 在线值：发帖 25 回帖 382 粉丝 17 关注私信	lynnux 9 楼跟这个https://github.com/mrexodia/TitanHide比如何？另外话说，难道不禁止patchguard也能用？加了数字签名(bin里没有发现sys)？可以使用额外工具如KPP和UPGDSED来禁止patchguard，这个提醒下用户就可以了。 2017-7-5 14:24 0
怕怕吓一雪币： 41 活跃值： (100) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 20 粉丝 0 关注私信	怕怕吓一 10 楼 VMProtect还是过不了，环境是win7 x64 ,加的vmpsdk,超级变异+虚拟 2017-7-5 14:31 0
StriveXjun 雪币： 1036 活跃值： (1311) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 214 粉丝 71 关注私信	StriveXjun 11 楼 lynnux 跟这个https://github.com/mrexodia/TitanHide比如何？    另外话说，难道不禁止patc ... 大牛见笑了，目前只是应用层的。跟TianHide没法比。TianHide也是SSDT Hook，需要过PG很麻烦。 2017-7-5 14:49 0
StriveXjun 雪币： 1036 活跃值： (1311) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 214 粉丝 71 关注私信	StriveXjun 12 楼怕怕吓一 VMProtect还是过不了，环境是win7 x64 ,加的vmpsdk,超级变异+虚拟 VMP3.1 以上的版本直接模拟wow64 syscall进内核。目前我这个是过不去。等我花时间整整。 2017-7-5 14:50 0
StriveXjun 雪币： 1036 活跃值： (1311) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 214 粉丝 71 关注私信	StriveXjun 13 楼 lynnux 跟这个https://github.com/mrexodia/TitanHide比如何？    另外话说，难道不禁止patc ... 但我这个处理了很多 scyllahide和phantom 没有处理到的地方。 2017-7-5 15:00 0
lynnux 雪币： 3545 活跃值： (1872) 能力值： ( LV6，RANK：93 ) 在线值：发帖 25 回帖 382 粉丝 17 关注私信	lynnux 14 楼 StriveXjun 但我这个处理了很多 scyllahide和phantom 没有处理到的地方。 [em_13] 哦哦，脑残了，看到“驱动功能目前有PG会触发蓝屏，暂停使用。”这句，以为不发sys了。 2017-7-5 15:19 0
哇咔咔zs 雪币： 130 活跃值： (1005) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 443 粉丝 3 关注私信	哇咔咔zs 15 楼附加了下TGP过不去被检查 2017-7-5 16:21 0
怕怕吓一雪币： 41 活跃值： (100) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 20 粉丝 0 关注私信	怕怕吓一 16 楼加油！！ 2017-7-5 18:17 0
xie风腾雪币： 12348 活跃值： (5113) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 1065 粉丝 5 关注私信	xie风腾 17 楼不知道神马问题，OD卡到 2017-7-5 19:04 0
xie风腾雪币： 12348 活跃值： (5113) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 1065 粉丝 5 关注私信	xie风腾 18 楼可能是设置问题吧，64位系统，过DLL本身的VMP都不行 2017-7-5 19:06 0
xxdisasm 雪币： 222 活跃值： (739) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 92 粉丝 19 关注私信	xxdisasm 19 楼 2017-7-5 20:12 0
chixiaojie 雪币： 3279 活跃值： (1997) 能力值： ( LV2，RANK：10 ) 在线值：发帖 91 回帖 1358 粉丝 2 关注私信	chixiaojie 20 楼神器，高大上。 2017-7-6 00:07 0
Nocker 雪币： 221 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	Nocker 22 楼神器，高大上。 2017-8-14 09:52 0
lhb天羽雪币： 25 活跃值： (506) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 145 粉丝 0 关注私信	lhb天羽 23 楼这个真的是神器了 2017-8-14 10:30 0
褐眼男子雪币： 60 活跃值： (444) 能力值： ( LV5，RANK：65 ) 在线值：发帖 75 回帖 308 粉丝 4 关注私信	褐眼男子 1 24 楼神器,VMP3.0居然能直接打开调试 2017-9-6 10:20 0
星星当空照雪币： 206 活跃值： (108) 能力值： ( LV6，RANK：90 ) 在线值：发帖 6 回帖 55 粉丝 2 关注私信	星星当空照 25 楼这个厉害了，先mark 2017-9-6 10:47 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

StriveXjun

发帖

214

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (105) 1 2 3 4 5 ▶
Rprop 雪币： 878 活跃值： (496) 能力值： ( LV3，RANK：20 ) 在线值：发帖 35 回帖 743 粉丝 12 关注私信	Rprop 2 楼支持 2017-7-5 11:32 0
爱琴海雪币： 1355 活跃值： (339) 能力值： ( LV13，RANK：920 ) 在线值：发帖 74 回帖 660 粉丝 7 关注私信	爱琴海 13 3 楼支持楼主 2017-7-5 11:40 0
小阿弟雪币： 135 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 234 粉丝 0 关注私信	小阿弟 4 楼这个可以有，多谢！！！ 2017-7-5 11:42 0
我是土匪雪币： 546 活跃值： (1667) 能力值： ( LV12，RANK：210 ) 在线值：发帖 75 回帖 787 粉丝 7 关注私信	我是土匪 4 5 楼支持楼主 2017-7-5 12:15 0
sonyps 雪币： 4522 活跃值： (5154) 能力值： ( LV4，RANK：40 ) 在线值：发帖 33 回帖 371 粉丝 28 关注私信	sonyps 6 楼报毒，用不了，能不能把壳去了 2017-7-5 12:48 0
MsScotch 雪币： 3190 活跃值： (1816) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 338 粉丝 3 关注私信	MsScotch 7 楼一直使用scyllahide+phantom组合，表示效果很好， 2017-7-5 13:05 0
lhb天羽雪币： 25 活跃值： (506) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 145 粉丝 0 关注私信	lhb天羽 8 楼 sod的驱动源码在哪里啊 2017-7-5 13:25 0
lynnux 雪币： 3545 活跃值： (1872) 能力值： ( LV6，RANK：93 ) 在线值：发帖 25 回帖 382 粉丝 17 关注私信	lynnux 9 楼跟这个https://github.com/mrexodia/TitanHide比如何？另外话说，难道不禁止patchguard也能用？加了数字签名(bin里没有发现sys)？可以使用额外工具如KPP和UPGDSED来禁止patchguard，这个提醒下用户就可以了。 2017-7-5 14:24 0
怕怕吓一雪币： 41 活跃值： (100) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 20 粉丝 0 关注私信	怕怕吓一 10 楼 VMProtect还是过不了，环境是win7 x64 ,加的vmpsdk,超级变异+虚拟 2017-7-5 14:31 0
StriveXjun 雪币： 1036 活跃值： (1311) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 214 粉丝 71 关注私信	StriveXjun 11 楼 lynnux 跟这个https://github.com/mrexodia/TitanHide比如何？    另外话说，难道不禁止patc ... 大牛见笑了，目前只是应用层的。跟TianHide没法比。TianHide也是SSDT Hook，需要过PG很麻烦。 2017-7-5 14:49 0
StriveXjun 雪币： 1036 活跃值： (1311) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 214 粉丝 71 关注私信	StriveXjun 12 楼怕怕吓一 VMProtect还是过不了，环境是win7 x64 ,加的vmpsdk,超级变异+虚拟 VMP3.1 以上的版本直接模拟wow64 syscall进内核。目前我这个是过不去。等我花时间整整。 2017-7-5 14:50 0
StriveXjun 雪币： 1036 活跃值： (1311) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 214 粉丝 71 关注私信	StriveXjun 13 楼 lynnux 跟这个https://github.com/mrexodia/TitanHide比如何？    另外话说，难道不禁止patc ... 但我这个处理了很多 scyllahide和phantom 没有处理到的地方。 2017-7-5 15:00 0
lynnux 雪币： 3545 活跃值： (1872) 能力值： ( LV6，RANK：93 ) 在线值：发帖 25 回帖 382 粉丝 17 关注私信	lynnux 14 楼 StriveXjun 但我这个处理了很多 scyllahide和phantom 没有处理到的地方。 [em_13] 哦哦，脑残了，看到“驱动功能目前有PG会触发蓝屏，暂停使用。”这句，以为不发sys了。 2017-7-5 15:19 0
哇咔咔zs 雪币： 130 活跃值： (1005) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 443 粉丝 3 关注私信	哇咔咔zs 15 楼附加了下TGP过不去被检查 2017-7-5 16:21 0
怕怕吓一雪币： 41 活跃值： (100) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 20 粉丝 0 关注私信	怕怕吓一 16 楼加油！！ 2017-7-5 18:17 0
xie风腾雪币： 12348 活跃值： (5113) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 1065 粉丝 5 关注私信	xie风腾 17 楼不知道神马问题，OD卡到 2017-7-5 19:04 0
xie风腾雪币： 12348 活跃值： (5113) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 1065 粉丝 5 关注私信	xie风腾 18 楼可能是设置问题吧，64位系统，过DLL本身的VMP都不行 2017-7-5 19:06 0
xxdisasm 雪币： 222 活跃值： (739) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 92 粉丝 19 关注私信	xxdisasm 19 楼 2017-7-5 20:12 0
chixiaojie 雪币： 3279 活跃值： (1997) 能力值： ( LV2，RANK：10 ) 在线值：发帖 91 回帖 1358 粉丝 2 关注私信	chixiaojie 20 楼神器，高大上。 2017-7-6 00:07 0
Nocker 雪币： 221 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	Nocker 22 楼神器，高大上。 2017-8-14 09:52 0
lhb天羽雪币： 25 活跃值： (506) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 145 粉丝 0 关注私信	lhb天羽 23 楼这个真的是神器了 2017-8-14 10:30 0
褐眼男子雪币： 60 活跃值： (444) 能力值： ( LV5，RANK：65 ) 在线值：发帖 75 回帖 308 粉丝 4 关注私信	褐眼男子 1 24 楼神器,VMP3.0居然能直接打开调试 2017-9-6 10:20 0
星星当空照雪币： 206 活跃值： (108) 能力值： ( LV6，RANK：90 ) 在线值：发帖 6 回帖 55 粉丝 2 关注私信	星星当空照 25 楼这个厉害了，先mark 2017-9-6 10:47 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[原创]SharpOD 反反调试插件 v0.6b (增加功能和修复BUG)

[SharpOD x64 v0.6更新]

[SharpOD x64 历史版本重要更新]

v0.5c

v0.5b

v0.5

v 0.4

v0.3

v0.2内测版

v0.1内测版