[原创] 基于vt反反调试插件-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创] 基于vt反反调试插件

2019-11-8 18:51 26576

[原创] 基于vt反反调试插件

Tennn

2019-11-8 18:51

26576

查看主题内容

收藏・96

点赞・11

打赏

最新回复 (81) ◀ 1 2 3 4 ▶
mb_qkotfqiz 雪币： 347 活跃值： (44) 能力值： (RANK：10 ) 在线值：发帖 21 回帖 95 粉丝 8 关注私信	mb_qkotfqiz 2019-11-9 05:56 26 楼 0 VT驱动最起码要支持所有64位系统。
uvbs 雪币： 60 活跃值： (474) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 202 粉丝 2 关注私信	uvbs 2019-11-9 13:20 27 楼 0 Tennn ![图片描述](upload/attach/201911/607869_JDFTYFXPP84SX5U.png) *.vmx文件加一句 ``` hypervisor.cpuid.v0 = ... Windows 10, Version 1809 (Updated Aug 2019) Windows 10, Version 1809 (Updated Dec 2018) Windows 10, Version 1809 (Updated Feb 2019) Windows 10, Version 1809 (Updated Jan 2019) Windows 10, Version 1809 (Updated July 2019) Windows 10, Version 1809 (Updated June 2019) Windows 10, Version 1809 (Updated March 2019) Windows 10, Version 1809 (Updated May 2019) Windows 10, Version 1809 (Updated Oct 2019) Windows 10, Version 1809 (Updated Sep 2018) Windows 10, Version 1809 (Updated Sept 2019) Windows 10, Version 1903 Windows 10, Version 1903 (Updated Aug 2019) Windows 10, Version 1903 (Updated July 2019) Windows 10, Version 1903 (Updated June 2019) Windows 10, Version 1903 (Updated Oct 2019) Windows 10, Version 1903 (Updated Sept 2019) Windows 10, Version 1909 itellyou 这么多版本具体时哪个19h1
uvbs 雪币： 60 活跃值： (474) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 202 粉丝 2 关注私信	uvbs 2019-11-9 15:45 28 楼 0 已经是管理员启动还是会出这个
loqich 雪币： 962 活跃值： (1541) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 643 粉丝 0 关注私信	loqich 2019-11-9 16:42 29 楼 0 蓝屏了,win10 1809 17763.805
sisess 雪币： 7267 活跃值： (2999) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 119 粉丝 1 关注私信	sisess 1 2019-11-9 21:17 30 楼 0 很棒,忍不住想给你赞!
killpy 雪币： 83 活跃值： (1037) 能力值： ( LV8，RANK：130 ) 在线值：发帖 35 回帖 651 粉丝 45 关注私信	killpy 2 2019-11-10 10:39 31 楼 0 可以调试游戏吗谁试过
Tennn 雪币： 1176 活跃值： (1219) 能力值： ( LV12，RANK：380 ) 在线值：发帖 35 回帖 725 粉丝 60 关注私信	Tennn 5 2019-11-10 15:29 32 楼 0 uvbs Windows 10, Version 1809 (Updated Aug 2019) Windows 10, Version 1809 (Updated Dec 2018) Windows 10 ... 试试新版本：https://github.com/stonedreamforest/Mirage/releases/tag/v20191110 2019-11-10 0. 修复隐藏bug 1. 添加`MVConfigBuild.exe`生成私人配置文件，增强兼容性：`对相应已支持的系统即使在打了内核补丁的情况下可能也支持`。 - 之前支持： > Microsoft Windows [版本 10.0.18362.418] //`19h1` - 现在支持 > Microsoft Windows [版本 10.0.18362.xxx] //`19h1` 2. 使用前自动检查系统版本、降低蓝屏几率直接查看最新更新日志： CHANGELOG 最后于 2019-11-10 15:43 被Tennn编辑，原因：
Tennn 雪币： 1176 活跃值： (1219) 能力值： ( LV12，RANK：380 ) 在线值：发帖 35 回帖 725 粉丝 60 关注私信	Tennn 5 2019-11-10 15:57 33 楼 0 loqich 蓝屏了,win10 1809 17763.805 这个版本现在不支持
Tennn 雪币： 1176 活跃值： (1219) 能力值： ( LV12，RANK：380 ) 在线值：发帖 35 回帖 725 粉丝 60 关注私信	Tennn 5 2019-11-10 15:58 34 楼 0 sisess 很棒,忍不住想给你赞! 最后于 2019-11-10 15:59 被Tennn编辑，原因：
Tennn 雪币： 1176 活跃值： (1219) 能力值： ( LV12，RANK：380 ) 在线值：发帖 35 回帖 725 粉丝 60 关注私信	Tennn 5 2019-11-10 16:02 35 楼 0 我擦这编辑器回复总失败。。
白菜大哥雪币： 12500 活跃值： (3043) 能力值： ( LV3，RANK：20 ) 在线值：发帖 66 回帖 593 粉丝 13 关注私信	白菜大哥 2019-11-10 20:02 36 楼 0 只有一个需求。。可否把功能顺便写在论坛。。。
Tennn 雪币： 1176 活跃值： (1219) 能力值： ( LV12，RANK：380 ) 在线值：发帖 35 回帖 725 粉丝 60 关注私信	Tennn 5 2019-11-10 22:15 37 楼 0 白菜大哥只有一个需求。。可否把功能顺便写在论坛。。。大佬你好现在可以了因为编辑器不支持打勾语法直接贴图了... 后面加其它功能就不在上面更新了
白菜大哥雪币： 12500 活跃值： (3043) 能力值： ( LV3，RANK：20 ) 在线值：发帖 66 回帖 593 粉丝 13 关注私信	白菜大哥 2019-11-10 22:25 38 楼 0 Tennn 大佬你好现在可以了因为编辑器不支持打勾语法直接贴图了... 后面加其它功能就不在上面更新了不敢不敢。看了下，非常nice，基本vmprotect的反调试都能过了。em…功能的话，不知道能不能再加一个内存隐藏，就是过crc。因为像有些壳，比如securom新版，不能下cc断点很蛋疼，他就是用上一段的代码计算下一段的代码，如果你cc断点了，忘记清除断点，代码hash会变导致路径走错。可否让代码执行起来是被hook的，但是读写，包括push和pop起来又是未hook的。不知道工作量怎么说。
Mxixihaha 雪币： 3711 活跃值： (3723) 能力值： ( LV2，RANK：10 ) 在线值：发帖 66 回帖 591 粉丝 17 关注私信	Mxixihaha 2019-11-10 22:31 39 楼 0 关注楼主的更新,看样子是又一款很强大的新利器
uvbs 雪币： 60 活跃值： (474) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 202 粉丝 2 关注私信	uvbs 2019-11-10 22:33 40 楼 0 白菜大哥不敢不敢。看了下，非常nice，基本vmprotect的反调试都能过了。em…功能的话，不知道能不能再加一个内存隐藏，就是过crc。因为像有些壳，比如securom新版，不能下cc断点很蛋疼，他就是用 ... 操作系统哪个版本，能否给个下载源，我这里试了3个系统都蓝屏
Tennn 雪币： 1176 活跃值： (1219) 能力值： ( LV12，RANK：380 ) 在线值：发帖 35 回帖 725 粉丝 60 关注私信	Tennn 5 2019-11-10 22:49 41 楼 0 白菜大哥不敢不敢。看了下，非常nice，基本vmprotect的反调试都能过了。em…功能的话，不知道能不能再加一个内存隐藏，就是过crc。因为像有些壳，比如securom新版，不能下cc断点很蛋疼，他就是用 ... 像这种加载crc我认为它在加壳时就把要计算的区域就放在硬编码了： VOID FUN(){ CRC_START // DO SOMETHINGS CRC_END } 跟动态加解密（为了保证稳定性要是单线程）一个道理一般不存在大范围使用，。那么基于以上推测隐藏在这里似乎没有用因为它始终要读取这块内存也不存在使用api获取内存区域，因为目标对它来说是已知的你认为呢。。。。 Ept隐藏这块我还没研究难点在主要是在兼容性和稳定性上面工作量不知道最后于 2019-11-10 23:03 被Tennn编辑，原因：
稳拿第一雪币： 1753 活跃值： (2676) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 47 粉丝 1 关注私信	稳拿第一 2019-11-11 09:40 42 楼 0 请求支持OD
dx苹果的心愿雪币： 687 活跃值： (3261) 能力值： ( LV5，RANK：70 ) 在线值：发帖 3 回帖 59 粉丝 6 关注私信	dx苹果的心愿 1 2019-11-11 14:44 43 楼 0 Tennn 因为不支持 ![图片描述](upload/tmp/607869_ZJ7J4KZ4BKS2E38.png) 这个准备支持么
Editor 雪币： 19584 活跃值： (60093) 能力值： (RANK：125 ) 在线值：发帖 1210 回帖 2883 粉丝 1495 关注私信	Editor 2019-11-11 15:09 44 楼 0 mark！
yimingqpa 雪币： 5844 活跃值： (3650) 能力值： ( LV10，RANK：163 ) 在线值：发帖 37 回帖 492 粉丝 47 关注私信	yimingqpa 1 2019-11-11 15:39 45 楼 0 要处理CR3和模拟硬断。
tongzeyu 雪币： 5 活跃值： (209) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 44 粉丝 2 关注私信	tongzeyu 2019-11-11 15:46 46 楼 0 这个考虑开源么想学习一下
Tennn 雪币： 1176 活跃值： (1219) 能力值： ( LV12，RANK：380 ) 在线值：发帖 35 回帖 725 粉丝 60 关注私信	Tennn 5 2019-11-11 16:11 47 楼 0 yimingqpa 要处理CR3和模拟硬断。多谢大佬提示
Tennn 雪币： 1176 活跃值： (1219) 能力值： ( LV12，RANK：380 ) 在线值：发帖 35 回帖 725 粉丝 60 关注私信	Tennn 5 2019-11-11 16:12 48 楼 0 dx苹果的心愿这个准备支持么[em_86] 开issue投票用的人多就支持
Tennn 雪币： 1176 活跃值： (1219) 能力值： ( LV12，RANK：380 ) 在线值：发帖 35 回帖 725 粉丝 60 关注私信	Tennn 5 2019-11-11 16:15 49 楼 0 tongzeyu 这个考虑开源么想学习一下我github所有代码将来都会开源（包括但不限于x64内核inline hook库、 vt hook库、win远控.... 最后于 2019-11-11 16:16 被Tennn编辑，原因：
Tennn 雪币： 1176 活跃值： (1219) 能力值： ( LV12，RANK：380 ) 在线值：发帖 35 回帖 725 粉丝 60 关注私信	Tennn 5 2019-11-11 16:27 50 楼 0 我帅的男人请求支持OD OD 用的人的确挺多... 既然这样的话就投票吧：投票
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

Tennn

发帖

725

回帖

380

RANK

关注

私信

他的文章

[原创]基于WatermelonLLVM的内核hook库：CandleDragon_wllvm

[原创] 基于vt反反调试插件

[原创]进程内存分析操作工具 - kar98k

[讨论]活跃度较高的群拉我一个

[原创] ida插件支持7.0

关于我们

联系我们

企业服务

看雪公众号

最新回复 (81) ◀ 1 2 3 4 ▶
mb_qkotfqiz 雪币： 347 活跃值： (44) 能力值： (RANK：10 ) 在线值：发帖 21 回帖 95 粉丝 8 关注私信	mb_qkotfqiz 2019-11-9 05:56 26 楼 0 VT驱动最起码要支持所有64位系统。
uvbs 雪币： 60 活跃值： (474) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 202 粉丝 2 关注私信	uvbs 2019-11-9 13:20 27 楼 0 Tennn ![图片描述](upload/attach/201911/607869_JDFTYFXPP84SX5U.png) *.vmx文件加一句 ``` hypervisor.cpuid.v0 = ... Windows 10, Version 1809 (Updated Aug 2019) Windows 10, Version 1809 (Updated Dec 2018) Windows 10, Version 1809 (Updated Feb 2019) Windows 10, Version 1809 (Updated Jan 2019) Windows 10, Version 1809 (Updated July 2019) Windows 10, Version 1809 (Updated June 2019) Windows 10, Version 1809 (Updated March 2019) Windows 10, Version 1809 (Updated May 2019) Windows 10, Version 1809 (Updated Oct 2019) Windows 10, Version 1809 (Updated Sep 2018) Windows 10, Version 1809 (Updated Sept 2019) Windows 10, Version 1903 Windows 10, Version 1903 (Updated Aug 2019) Windows 10, Version 1903 (Updated July 2019) Windows 10, Version 1903 (Updated June 2019) Windows 10, Version 1903 (Updated Oct 2019) Windows 10, Version 1903 (Updated Sept 2019) Windows 10, Version 1909 itellyou 这么多版本具体时哪个19h1
uvbs 雪币： 60 活跃值： (474) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 202 粉丝 2 关注私信	uvbs 2019-11-9 15:45 28 楼 0 已经是管理员启动还是会出这个
loqich 雪币： 962 活跃值： (1541) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 643 粉丝 0 关注私信	loqich 2019-11-9 16:42 29 楼 0 蓝屏了,win10 1809 17763.805
sisess 雪币： 7267 活跃值： (2999) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 119 粉丝 1 关注私信	sisess 1 2019-11-9 21:17 30 楼 0 很棒,忍不住想给你赞!
killpy 雪币： 83 活跃值： (1037) 能力值： ( LV8，RANK：130 ) 在线值：发帖 35 回帖 651 粉丝 45 关注私信	killpy 2 2019-11-10 10:39 31 楼 0 可以调试游戏吗谁试过
Tennn 雪币： 1176 活跃值： (1219) 能力值： ( LV12，RANK：380 ) 在线值：发帖 35 回帖 725 粉丝 60 关注私信	Tennn 5 2019-11-10 15:29 32 楼 0 uvbs Windows 10, Version 1809 (Updated Aug 2019) Windows 10, Version 1809 (Updated Dec 2018) Windows 10 ... 试试新版本：https://github.com/stonedreamforest/Mirage/releases/tag/v20191110 2019-11-10 0. 修复隐藏bug 1. 添加`MVConfigBuild.exe`生成私人配置文件，增强兼容性：`对相应已支持的系统即使在打了内核补丁的情况下可能也支持`。 - 之前支持： > Microsoft Windows [版本 10.0.18362.418] //`19h1` - 现在支持 > Microsoft Windows [版本 10.0.18362.xxx] //`19h1` 2. 使用前自动检查系统版本、降低蓝屏几率直接查看最新更新日志： CHANGELOG 最后于 2019-11-10 15:43 被Tennn编辑，原因：
Tennn 雪币： 1176 活跃值： (1219) 能力值： ( LV12，RANK：380 ) 在线值：发帖 35 回帖 725 粉丝 60 关注私信	Tennn 5 2019-11-10 15:57 33 楼 0 loqich 蓝屏了,win10 1809 17763.805 这个版本现在不支持
Tennn 雪币： 1176 活跃值： (1219) 能力值： ( LV12，RANK：380 ) 在线值：发帖 35 回帖 725 粉丝 60 关注私信	Tennn 5 2019-11-10 15:58 34 楼 0 sisess 很棒,忍不住想给你赞! 最后于 2019-11-10 15:59 被Tennn编辑，原因：
Tennn 雪币： 1176 活跃值： (1219) 能力值： ( LV12，RANK：380 ) 在线值：发帖 35 回帖 725 粉丝 60 关注私信	Tennn 5 2019-11-10 16:02 35 楼 0 我擦这编辑器回复总失败。。
白菜大哥雪币： 12500 活跃值： (3043) 能力值： ( LV3，RANK：20 ) 在线值：发帖 66 回帖 593 粉丝 13 关注私信	白菜大哥 2019-11-10 20:02 36 楼 0 只有一个需求。。可否把功能顺便写在论坛。。。
Tennn 雪币： 1176 活跃值： (1219) 能力值： ( LV12，RANK：380 ) 在线值：发帖 35 回帖 725 粉丝 60 关注私信	Tennn 5 2019-11-10 22:15 37 楼 0 白菜大哥只有一个需求。。可否把功能顺便写在论坛。。。大佬你好现在可以了因为编辑器不支持打勾语法直接贴图了... 后面加其它功能就不在上面更新了
白菜大哥雪币： 12500 活跃值： (3043) 能力值： ( LV3，RANK：20 ) 在线值：发帖 66 回帖 593 粉丝 13 关注私信	白菜大哥 2019-11-10 22:25 38 楼 0 Tennn 大佬你好现在可以了因为编辑器不支持打勾语法直接贴图了... 后面加其它功能就不在上面更新了不敢不敢。看了下，非常nice，基本vmprotect的反调试都能过了。em…功能的话，不知道能不能再加一个内存隐藏，就是过crc。因为像有些壳，比如securom新版，不能下cc断点很蛋疼，他就是用上一段的代码计算下一段的代码，如果你cc断点了，忘记清除断点，代码hash会变导致路径走错。可否让代码执行起来是被hook的，但是读写，包括push和pop起来又是未hook的。不知道工作量怎么说。
Mxixihaha 雪币： 3711 活跃值： (3723) 能力值： ( LV2，RANK：10 ) 在线值：发帖 66 回帖 591 粉丝 17 关注私信	Mxixihaha 2019-11-10 22:31 39 楼 0 关注楼主的更新,看样子是又一款很强大的新利器
uvbs 雪币： 60 活跃值： (474) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 202 粉丝 2 关注私信	uvbs 2019-11-10 22:33 40 楼 0 白菜大哥不敢不敢。看了下，非常nice，基本vmprotect的反调试都能过了。em…功能的话，不知道能不能再加一个内存隐藏，就是过crc。因为像有些壳，比如securom新版，不能下cc断点很蛋疼，他就是用 ... 操作系统哪个版本，能否给个下载源，我这里试了3个系统都蓝屏
Tennn 雪币： 1176 活跃值： (1219) 能力值： ( LV12，RANK：380 ) 在线值：发帖 35 回帖 725 粉丝 60 关注私信	Tennn 5 2019-11-10 22:49 41 楼 0 白菜大哥不敢不敢。看了下，非常nice，基本vmprotect的反调试都能过了。em…功能的话，不知道能不能再加一个内存隐藏，就是过crc。因为像有些壳，比如securom新版，不能下cc断点很蛋疼，他就是用 ... 像这种加载crc我认为它在加壳时就把要计算的区域就放在硬编码了： VOID FUN(){ CRC_START // DO SOMETHINGS CRC_END } 跟动态加解密（为了保证稳定性要是单线程）一个道理一般不存在大范围使用，。那么基于以上推测隐藏在这里似乎没有用因为它始终要读取这块内存也不存在使用api获取内存区域，因为目标对它来说是已知的你认为呢。。。。 Ept隐藏这块我还没研究难点在主要是在兼容性和稳定性上面工作量不知道最后于 2019-11-10 23:03 被Tennn编辑，原因：
稳拿第一雪币： 1753 活跃值： (2676) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 47 粉丝 1 关注私信	稳拿第一 2019-11-11 09:40 42 楼 0 请求支持OD
dx苹果的心愿雪币： 687 活跃值： (3261) 能力值： ( LV5，RANK：70 ) 在线值：发帖 3 回帖 59 粉丝 6 关注私信	dx苹果的心愿 1 2019-11-11 14:44 43 楼 0 Tennn 因为不支持 ![图片描述](upload/tmp/607869_ZJ7J4KZ4BKS2E38.png) 这个准备支持么
Editor 雪币： 19584 活跃值： (60093) 能力值： (RANK：125 ) 在线值：发帖 1210 回帖 2883 粉丝 1495 关注私信	Editor 2019-11-11 15:09 44 楼 0 mark！
yimingqpa 雪币： 5844 活跃值： (3650) 能力值： ( LV10，RANK：163 ) 在线值：发帖 37 回帖 492 粉丝 47 关注私信	yimingqpa 1 2019-11-11 15:39 45 楼 0 要处理CR3和模拟硬断。
tongzeyu 雪币： 5 活跃值： (209) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 44 粉丝 2 关注私信	tongzeyu 2019-11-11 15:46 46 楼 0 这个考虑开源么想学习一下
Tennn 雪币： 1176 活跃值： (1219) 能力值： ( LV12，RANK：380 ) 在线值：发帖 35 回帖 725 粉丝 60 关注私信	Tennn 5 2019-11-11 16:11 47 楼 0 yimingqpa 要处理CR3和模拟硬断。多谢大佬提示
Tennn 雪币： 1176 活跃值： (1219) 能力值： ( LV12，RANK：380 ) 在线值：发帖 35 回帖 725 粉丝 60 关注私信	Tennn 5 2019-11-11 16:12 48 楼 0 dx苹果的心愿这个准备支持么[em_86] 开issue投票用的人多就支持
Tennn 雪币： 1176 活跃值： (1219) 能力值： ( LV12，RANK：380 ) 在线值：发帖 35 回帖 725 粉丝 60 关注私信	Tennn 5 2019-11-11 16:15 49 楼 0 tongzeyu 这个考虑开源么想学习一下我github所有代码将来都会开源（包括但不限于x64内核inline hook库、 vt hook库、win远控.... 最后于 2019-11-11 16:16 被Tennn编辑，原因：
Tennn 雪币： 1176 活跃值： (1219) 能力值： ( LV12，RANK：380 ) 在线值：发帖 35 回帖 725 粉丝 60 关注私信	Tennn 5 2019-11-11 16:27 50 楼 0 我帅的男人请求支持OD OD 用的人的确挺多... 既然这样的话就投票吧：投票
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复