[原创] 基于vt反反调试插件-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创] 基于vt反反调试插件

发表于: 2019-11-8 18:51 28421

[原创] 基于vt反反调试插件

Tennn

2019-11-8 18:51

28421

查看主题内容

收藏・98

免费・12

支持

最新回复 (81) ◀ 1 2 3 4 ▶
mb_qkotfqiz 雪币： 347 活跃值： (44) 能力值： (RANK：10 ) 在线值：发帖 21 回帖 106 粉丝 10 关注私信	mb_qkotfqiz 26 楼 VT驱动最起码要支持所有64位系统。 2019-11-9 05:56 0
uvbs 雪币： 30 活跃值： (755) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 199 粉丝 2 关注私信	uvbs 27 楼 Tennn ![图片描述](upload/attach/201911/607869_JDFTYFXPP84SX5U.png) *.vmx文件加一句 ``` hypervisor.cpuid.v0 = ... Windows 10, Version 1809 (Updated Aug 2019) Windows 10, Version 1809 (Updated Dec 2018) Windows 10, Version 1809 (Updated Feb 2019) Windows 10, Version 1809 (Updated Jan 2019) Windows 10, Version 1809 (Updated July 2019) Windows 10, Version 1809 (Updated June 2019) Windows 10, Version 1809 (Updated March 2019) Windows 10, Version 1809 (Updated May 2019) Windows 10, Version 1809 (Updated Oct 2019) Windows 10, Version 1809 (Updated Sep 2018) Windows 10, Version 1809 (Updated Sept 2019) Windows 10, Version 1903 Windows 10, Version 1903 (Updated Aug 2019) Windows 10, Version 1903 (Updated July 2019) Windows 10, Version 1903 (Updated June 2019) Windows 10, Version 1903 (Updated Oct 2019) Windows 10, Version 1903 (Updated Sept 2019) Windows 10, Version 1909 itellyou 这么多版本具体时哪个19h1 2019-11-9 13:20 0
uvbs 雪币： 30 活跃值： (755) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 199 粉丝 2 关注私信	uvbs 28 楼已经是管理员启动还是会出这个 2019-11-9 15:45 0
loqich 雪币： 952 活跃值： (1821) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 642 粉丝 0 关注私信	loqich 29 楼蓝屏了,win10 1809 17763.805 2019-11-9 16:42 0
sisess 雪币： 8216 活跃值： (3887) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 122 粉丝 1 关注私信	sisess 1 30 楼很棒,忍不住想给你赞! 2019-11-9 21:17 0
killpy 雪币： 83 活跃值： (1087) 能力值： ( LV8，RANK：130 ) 在线值：发帖 35 回帖 654 粉丝 48 关注私信	killpy 2 31 楼可以调试游戏吗谁试过 2019-11-10 10:39 0
Tennn 雪币： 1176 活跃值： (1264) 能力值： ( LV12，RANK：380 ) 在线值：发帖 38 回帖 711 粉丝 64 关注私信	Tennn 5 32 楼 uvbs Windows 10, Version 1809 (Updated Aug 2019) Windows 10, Version 1809 (Updated Dec 2018) Windows 10 ... 试试新版本：https://github.com/stonedreamforest/Mirage/releases/tag/v20191110 2019-11-10 0. 修复隐藏bug 1. 添加`MVConfigBuild.exe`生成私人配置文件，增强兼容性：`对相应已支持的系统即使在打了内核补丁的情况下可能也支持`。 - 之前支持： > Microsoft Windows [版本 10.0.18362.418] //`19h1` - 现在支持 > Microsoft Windows [版本 10.0.18362.xxx] //`19h1` 2. 使用前自动检查系统版本、降低蓝屏几率直接查看最新更新日志： CHANGELOG 最后于 2019-11-10 15:43 被Tennn编辑，原因： 2019-11-10 15:29 0
Tennn 雪币： 1176 活跃值： (1264) 能力值： ( LV12，RANK：380 ) 在线值：发帖 38 回帖 711 粉丝 64 关注私信	Tennn 5 33 楼 loqich 蓝屏了,win10 1809 17763.805 这个版本现在不支持 2019-11-10 15:57 0
Tennn 雪币： 1176 活跃值： (1264) 能力值： ( LV12，RANK：380 ) 在线值：发帖 38 回帖 711 粉丝 64 关注私信	Tennn 5 34 楼 sisess 很棒,忍不住想给你赞! 最后于 2019-11-10 15:59 被Tennn编辑，原因： 2019-11-10 15:58 0
Tennn 雪币： 1176 活跃值： (1264) 能力值： ( LV12，RANK：380 ) 在线值：发帖 38 回帖 711 粉丝 64 关注私信	Tennn 5 35 楼我擦这编辑器回复总失败。。 2019-11-10 16:02 0
白菜大哥雪币： 12502 活跃值： (3053) 能力值： ( LV3，RANK：20 ) 在线值：发帖 66 回帖 615 粉丝 15 关注私信	白菜大哥 36 楼只有一个需求。。可否把功能顺便写在论坛。。。 2019-11-10 20:02 0
Tennn 雪币： 1176 活跃值： (1264) 能力值： ( LV12，RANK：380 ) 在线值：发帖 38 回帖 711 粉丝 64 关注私信	Tennn 5 37 楼白菜大哥只有一个需求。。可否把功能顺便写在论坛。。。大佬你好现在可以了因为编辑器不支持打勾语法直接贴图了... 后面加其它功能就不在上面更新了 2019-11-10 22:15 0
白菜大哥雪币： 12502 活跃值： (3053) 能力值： ( LV3，RANK：20 ) 在线值：发帖 66 回帖 615 粉丝 15 关注私信	白菜大哥 38 楼 Tennn 大佬你好现在可以了因为编辑器不支持打勾语法直接贴图了... 后面加其它功能就不在上面更新了不敢不敢。看了下，非常nice，基本vmprotect的反调试都能过了。em…功能的话，不知道能不能再加一个内存隐藏，就是过crc。因为像有些壳，比如securom新版，不能下cc断点很蛋疼，他就是用上一段的代码计算下一段的代码，如果你cc断点了，忘记清除断点，代码hash会变导致路径走错。可否让代码执行起来是被hook的，但是读写，包括push和pop起来又是未hook的。不知道工作量怎么说。 2019-11-10 22:25 0
Mxixihaha 雪币： 4381 活跃值： (4373) 能力值： ( LV2，RANK：10 ) 在线值：发帖 65 回帖 593 粉丝 18 关注私信	Mxixihaha 39 楼关注楼主的更新,看样子是又一款很强大的新利器 2019-11-10 22:31 0
uvbs 雪币： 30 活跃值： (755) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 199 粉丝 2 关注私信	uvbs 40 楼白菜大哥不敢不敢。看了下，非常nice，基本vmprotect的反调试都能过了。em…功能的话，不知道能不能再加一个内存隐藏，就是过crc。因为像有些壳，比如securom新版，不能下cc断点很蛋疼，他就是用 ... 操作系统哪个版本，能否给个下载源，我这里试了3个系统都蓝屏 2019-11-10 22:33 0
Tennn 雪币： 1176 活跃值： (1264) 能力值： ( LV12，RANK：380 ) 在线值：发帖 38 回帖 711 粉丝 64 关注私信	Tennn 5 41 楼白菜大哥不敢不敢。看了下，非常nice，基本vmprotect的反调试都能过了。em…功能的话，不知道能不能再加一个内存隐藏，就是过crc。因为像有些壳，比如securom新版，不能下cc断点很蛋疼，他就是用 ... 像这种加载crc我认为它在加壳时就把要计算的区域就放在硬编码了： VOID FUN(){ CRC_START // DO SOMETHINGS CRC_END } 跟动态加解密（为了保证稳定性要是单线程）一个道理一般不存在大范围使用，。那么基于以上推测隐藏在这里似乎没有用因为它始终要读取这块内存也不存在使用api获取内存区域，因为目标对它来说是已知的你认为呢。。。。 Ept隐藏这块我还没研究难点在主要是在兼容性和稳定性上面工作量不知道最后于 2019-11-10 23:03 被Tennn编辑，原因： 2019-11-10 22:49 0
稳拿第一雪币： 1860 活跃值： (3151) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 47 粉丝 1 关注私信	稳拿第一 42 楼请求支持OD 2019-11-11 09:40 0
dx苹果的心愿雪币： 1108 活跃值： (3896) 能力值： ( LV5，RANK：70 ) 在线值：发帖 3 回帖 62 粉丝 6 关注私信	dx苹果的心愿 1 43 楼 Tennn 因为不支持 ![图片描述](upload/tmp/607869_ZJ7J4KZ4BKS2E38.png) 这个准备支持么 2019-11-11 14:44 0
Editor 雪币： 26225 活跃值： (63302) 能力值： (RANK：135 ) 在线值：发帖 1608 回帖 4397 粉丝 1772 关注私信	Editor 44 楼 mark！ 2019-11-11 15:09 0
yimingqpa 雪币： 6541 活跃值： (4336) 能力值： ( LV10，RANK：163 ) 在线值：发帖 35 回帖 499 粉丝 53 关注私信	yimingqpa 1 45 楼要处理CR3和模拟硬断。 2019-11-11 15:39 0
tongzeyu 雪币： 0 活跃值： (340) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 2 关注私信	tongzeyu 46 楼这个考虑开源么想学习一下 2019-11-11 15:46 0
Tennn 雪币： 1176 活跃值： (1264) 能力值： ( LV12，RANK：380 ) 在线值：发帖 38 回帖 711 粉丝 64 关注私信	Tennn 5 47 楼 yimingqpa 要处理CR3和模拟硬断。多谢大佬提示 2019-11-11 16:11 0
Tennn 雪币： 1176 活跃值： (1264) 能力值： ( LV12，RANK：380 ) 在线值：发帖 38 回帖 711 粉丝 64 关注私信	Tennn 5 48 楼 dx苹果的心愿这个准备支持么[em_86] 开issue投票用的人多就支持 2019-11-11 16:12 0
Tennn 雪币： 1176 活跃值： (1264) 能力值： ( LV12，RANK：380 ) 在线值：发帖 38 回帖 711 粉丝 64 关注私信	Tennn 5 49 楼 tongzeyu 这个考虑开源么想学习一下我github所有代码将来都会开源（包括但不限于x64内核inline hook库、 vt hook库、win远控.... 最后于 2019-11-11 16:16 被Tennn编辑，原因： 2019-11-11 16:15 0
Tennn 雪币： 1176 活跃值： (1264) 能力值： ( LV12，RANK：380 ) 在线值：发帖 38 回帖 711 粉丝 64 关注私信	Tennn 5 50 楼我帅的男人请求支持OD OD 用的人的确挺多... 既然这样的话就投票吧：投票 2019-11-11 16:27 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Tennn

发帖

711

回帖

380

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (81) ◀ 1 2 3 4 ▶
mb_qkotfqiz 雪币： 347 活跃值： (44) 能力值： (RANK：10 ) 在线值：发帖 21 回帖 106 粉丝 10 关注私信	mb_qkotfqiz 26 楼 VT驱动最起码要支持所有64位系统。 2019-11-9 05:56 0
uvbs 雪币： 30 活跃值： (755) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 199 粉丝 2 关注私信	uvbs 27 楼 Tennn ![图片描述](upload/attach/201911/607869_JDFTYFXPP84SX5U.png) *.vmx文件加一句 ``` hypervisor.cpuid.v0 = ... Windows 10, Version 1809 (Updated Aug 2019) Windows 10, Version 1809 (Updated Dec 2018) Windows 10, Version 1809 (Updated Feb 2019) Windows 10, Version 1809 (Updated Jan 2019) Windows 10, Version 1809 (Updated July 2019) Windows 10, Version 1809 (Updated June 2019) Windows 10, Version 1809 (Updated March 2019) Windows 10, Version 1809 (Updated May 2019) Windows 10, Version 1809 (Updated Oct 2019) Windows 10, Version 1809 (Updated Sep 2018) Windows 10, Version 1809 (Updated Sept 2019) Windows 10, Version 1903 Windows 10, Version 1903 (Updated Aug 2019) Windows 10, Version 1903 (Updated July 2019) Windows 10, Version 1903 (Updated June 2019) Windows 10, Version 1903 (Updated Oct 2019) Windows 10, Version 1903 (Updated Sept 2019) Windows 10, Version 1909 itellyou 这么多版本具体时哪个19h1 2019-11-9 13:20 0
uvbs 雪币： 30 活跃值： (755) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 199 粉丝 2 关注私信	uvbs 28 楼已经是管理员启动还是会出这个 2019-11-9 15:45 0
loqich 雪币： 952 活跃值： (1821) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 642 粉丝 0 关注私信	loqich 29 楼蓝屏了,win10 1809 17763.805 2019-11-9 16:42 0
sisess 雪币： 8216 活跃值： (3887) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 122 粉丝 1 关注私信	sisess 1 30 楼很棒,忍不住想给你赞! 2019-11-9 21:17 0
killpy 雪币： 83 活跃值： (1087) 能力值： ( LV8，RANK：130 ) 在线值：发帖 35 回帖 654 粉丝 48 关注私信	killpy 2 31 楼可以调试游戏吗谁试过 2019-11-10 10:39 0
Tennn 雪币： 1176 活跃值： (1264) 能力值： ( LV12，RANK：380 ) 在线值：发帖 38 回帖 711 粉丝 64 关注私信	Tennn 5 32 楼 uvbs Windows 10, Version 1809 (Updated Aug 2019) Windows 10, Version 1809 (Updated Dec 2018) Windows 10 ... 试试新版本：https://github.com/stonedreamforest/Mirage/releases/tag/v20191110 2019-11-10 0. 修复隐藏bug 1. 添加`MVConfigBuild.exe`生成私人配置文件，增强兼容性：`对相应已支持的系统即使在打了内核补丁的情况下可能也支持`。 - 之前支持： > Microsoft Windows [版本 10.0.18362.418] //`19h1` - 现在支持 > Microsoft Windows [版本 10.0.18362.xxx] //`19h1` 2. 使用前自动检查系统版本、降低蓝屏几率直接查看最新更新日志： CHANGELOG 最后于 2019-11-10 15:43 被Tennn编辑，原因： 2019-11-10 15:29 0
Tennn 雪币： 1176 活跃值： (1264) 能力值： ( LV12，RANK：380 ) 在线值：发帖 38 回帖 711 粉丝 64 关注私信	Tennn 5 33 楼 loqich 蓝屏了,win10 1809 17763.805 这个版本现在不支持 2019-11-10 15:57 0
Tennn 雪币： 1176 活跃值： (1264) 能力值： ( LV12，RANK：380 ) 在线值：发帖 38 回帖 711 粉丝 64 关注私信	Tennn 5 34 楼 sisess 很棒,忍不住想给你赞! 最后于 2019-11-10 15:59 被Tennn编辑，原因： 2019-11-10 15:58 0
Tennn 雪币： 1176 活跃值： (1264) 能力值： ( LV12，RANK：380 ) 在线值：发帖 38 回帖 711 粉丝 64 关注私信	Tennn 5 35 楼我擦这编辑器回复总失败。。 2019-11-10 16:02 0
白菜大哥雪币： 12502 活跃值： (3053) 能力值： ( LV3，RANK：20 ) 在线值：发帖 66 回帖 615 粉丝 15 关注私信	白菜大哥 36 楼只有一个需求。。可否把功能顺便写在论坛。。。 2019-11-10 20:02 0
Tennn 雪币： 1176 活跃值： (1264) 能力值： ( LV12，RANK：380 ) 在线值：发帖 38 回帖 711 粉丝 64 关注私信	Tennn 5 37 楼白菜大哥只有一个需求。。可否把功能顺便写在论坛。。。大佬你好现在可以了因为编辑器不支持打勾语法直接贴图了... 后面加其它功能就不在上面更新了 2019-11-10 22:15 0
白菜大哥雪币： 12502 活跃值： (3053) 能力值： ( LV3，RANK：20 ) 在线值：发帖 66 回帖 615 粉丝 15 关注私信	白菜大哥 38 楼 Tennn 大佬你好现在可以了因为编辑器不支持打勾语法直接贴图了... 后面加其它功能就不在上面更新了不敢不敢。看了下，非常nice，基本vmprotect的反调试都能过了。em…功能的话，不知道能不能再加一个内存隐藏，就是过crc。因为像有些壳，比如securom新版，不能下cc断点很蛋疼，他就是用上一段的代码计算下一段的代码，如果你cc断点了，忘记清除断点，代码hash会变导致路径走错。可否让代码执行起来是被hook的，但是读写，包括push和pop起来又是未hook的。不知道工作量怎么说。 2019-11-10 22:25 0
Mxixihaha 雪币： 4381 活跃值： (4373) 能力值： ( LV2，RANK：10 ) 在线值：发帖 65 回帖 593 粉丝 18 关注私信	Mxixihaha 39 楼关注楼主的更新,看样子是又一款很强大的新利器 2019-11-10 22:31 0
uvbs 雪币： 30 活跃值： (755) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 199 粉丝 2 关注私信	uvbs 40 楼白菜大哥不敢不敢。看了下，非常nice，基本vmprotect的反调试都能过了。em…功能的话，不知道能不能再加一个内存隐藏，就是过crc。因为像有些壳，比如securom新版，不能下cc断点很蛋疼，他就是用 ... 操作系统哪个版本，能否给个下载源，我这里试了3个系统都蓝屏 2019-11-10 22:33 0
Tennn 雪币： 1176 活跃值： (1264) 能力值： ( LV12，RANK：380 ) 在线值：发帖 38 回帖 711 粉丝 64 关注私信	Tennn 5 41 楼白菜大哥不敢不敢。看了下，非常nice，基本vmprotect的反调试都能过了。em…功能的话，不知道能不能再加一个内存隐藏，就是过crc。因为像有些壳，比如securom新版，不能下cc断点很蛋疼，他就是用 ... 像这种加载crc我认为它在加壳时就把要计算的区域就放在硬编码了： VOID FUN(){ CRC_START // DO SOMETHINGS CRC_END } 跟动态加解密（为了保证稳定性要是单线程）一个道理一般不存在大范围使用，。那么基于以上推测隐藏在这里似乎没有用因为它始终要读取这块内存也不存在使用api获取内存区域，因为目标对它来说是已知的你认为呢。。。。 Ept隐藏这块我还没研究难点在主要是在兼容性和稳定性上面工作量不知道最后于 2019-11-10 23:03 被Tennn编辑，原因： 2019-11-10 22:49 0
稳拿第一雪币： 1860 活跃值： (3151) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 47 粉丝 1 关注私信	稳拿第一 42 楼请求支持OD 2019-11-11 09:40 0
dx苹果的心愿雪币： 1108 活跃值： (3896) 能力值： ( LV5，RANK：70 ) 在线值：发帖 3 回帖 62 粉丝 6 关注私信	dx苹果的心愿 1 43 楼 Tennn 因为不支持 ![图片描述](upload/tmp/607869_ZJ7J4KZ4BKS2E38.png) 这个准备支持么 2019-11-11 14:44 0
Editor 雪币： 26225 活跃值： (63302) 能力值： (RANK：135 ) 在线值：发帖 1608 回帖 4397 粉丝 1772 关注私信	Editor 44 楼 mark！ 2019-11-11 15:09 0
yimingqpa 雪币： 6541 活跃值： (4336) 能力值： ( LV10，RANK：163 ) 在线值：发帖 35 回帖 499 粉丝 53 关注私信	yimingqpa 1 45 楼要处理CR3和模拟硬断。 2019-11-11 15:39 0
tongzeyu 雪币： 0 活跃值： (340) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 2 关注私信	tongzeyu 46 楼这个考虑开源么想学习一下 2019-11-11 15:46 0
Tennn 雪币： 1176 活跃值： (1264) 能力值： ( LV12，RANK：380 ) 在线值：发帖 38 回帖 711 粉丝 64 关注私信	Tennn 5 47 楼 yimingqpa 要处理CR3和模拟硬断。多谢大佬提示 2019-11-11 16:11 0
Tennn 雪币： 1176 活跃值： (1264) 能力值： ( LV12，RANK：380 ) 在线值：发帖 38 回帖 711 粉丝 64 关注私信	Tennn 5 48 楼 dx苹果的心愿这个准备支持么[em_86] 开issue投票用的人多就支持 2019-11-11 16:12 0
Tennn 雪币： 1176 活跃值： (1264) 能力值： ( LV12，RANK：380 ) 在线值：发帖 38 回帖 711 粉丝 64 关注私信	Tennn 5 49 楼 tongzeyu 这个考虑开源么想学习一下我github所有代码将来都会开源（包括但不限于x64内核inline hook库、 vt hook库、win远控.... 最后于 2019-11-11 16:16 被Tennn编辑，原因： 2019-11-11 16:15 0
Tennn 雪币： 1176 活跃值： (1264) 能力值： ( LV12，RANK：380 ) 在线值：发帖 38 回帖 711 粉丝 64 关注私信	Tennn 5 50 楼我帅的男人请求支持OD OD 用的人的确挺多... 既然这样的话就投票吧：投票 2019-11-11 16:27 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复