隐藏OD反调试工具-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

隐藏OD反调试工具

发表于: 2007-2-10 11:18 15527

隐藏OD反调试工具

okdodo

2007-2-10 11:18

15527

现在针对OD的检测主要有三类：一是窗口检测，二是父进程检测，三是标志位检测。如果能在内核级对这些检测进行过滤、修改，效果或许会更理想。

为此，我尝试写了一个小工具，如果大家有兴趣，请帮忙测试一下

ps:现在仅支持XP SP2及1.1版OD，并可能导致蓝屏，测试前请做好备份。

对付THEMID的HEAP MAGIC用的暴力搜索，有点影响效率，希望能得到大家的指点。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

kmw.rar （314.09kb，263次下载）

收藏・0

免费・0

支持

最新回复 (21)
xzchina 雪币： 615 活跃值： (1212) 能力值： ( LV4，RANK：50 ) 在线值：发帖 42 回帖 843 粉丝 0 关注私信	xzchina 1 2 楼 BSOD 2007-2-10 12:14 0
kanxue 雪币： 47147 活跃值： (20450) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 3 楼做了次小白，支持继续完善，XP SP2 2007-2-10 12:42 0
疯狂菜鸟雪币： 0 能力值： (RANK：10 ) 在线值：发帖 48 回帖 410 粉丝 0 关注私信	疯狂菜鸟 4 楼最初由 kanxue* 发布* 做了次小白，支持继续完善，XP SP2 哈哈看雪真可爱用的还是这样可爱的显示器换个显示器`对眼睛和皮肤好点我这里测试通过一切正常 SP2 2007-2-10 12:46 0
kanxue 雪币： 47147 活跃值： (20450) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 5 楼最初由疯狂菜鸟* 发布* 哈哈看雪真可爱用的还是这样可爱的显示器换个显示器`对眼睛和皮肤好点我这里测试通过一切正常 SP2 呵～谢谢关心，照相机有些变形，是LCD，SyncMaster 151s 2007-2-10 13:00 0
okdodo 雪币： 233 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 12 回帖 396 粉丝 1 关注私信	okdodo 2 6 楼 TO kanxue,xzchina: 出现蓝屏是在什么情况下？刚启动KMW？如果方便，请说下机器配置，谢谢。 2007-2-10 13:04 0
kanxue 雪币： 47147 活跃值： (20450) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 7 楼最初由 okdodo* 发布* TO kanxue,xzchina: 出现蓝屏是在什么情况下？刚启动KMW？如果方便，请说下机器配置，谢谢。刚启动时。 Celeron 331,915，512M 2007-2-10 13:07 0
qiweixue 雪币： 258 活跃值： (230) 能力值： ( LV12，RANK：770 ) 在线值：发帖 47 回帖 1136 粉丝 3 关注私信	qiweixue 19 8 楼第一没跑od,直接运行楼主的东东. 抛出一个异常,_KiTrapOE(14号)中断例程接管.si里.重启了. 第二次把od,1.1跑起来,运行ok了. 2007-2-10 14:49 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 23 关注私信	笨笨雄 14 9 楼楼上怎么不顺便把BUG解决 2007-2-11 08:33 0
黑夜狂想雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	黑夜狂想 10 楼为什么下载的压缩包解压出错。 2007-2-12 09:10 0
wangshq397 雪币： 277 活跃值： (312) 能力值： ( LV9，RANK：330 ) 在线值：发帖 59 回帖 650 粉丝 0 关注私信	wangshq397 8 11 楼驱动启动起来后怎么停止呀？ 2007-2-12 13:11 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 12 楼效果不错，测试能过themida1.8.5.5的anti 2007-2-13 10:33 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 13 楼最初由 wangshq397* 发布* 驱动启动起来后怎么停止呀？退出应该就停止了，我这里用OD运行themida后，退出kmw，themida也退出了 2007-2-13 10:43 0
云重雪币： 213 活跃值： (96) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 258 粉丝 1 关注私信	云重 1 14 楼我也被搞蓝屏了啊 2007-2-14 16:15 0
feiproxy 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 130 粉丝 0 关注私信	feiproxy 15 楼 "CSRSS.EXE" "EExEnumHandleTable" "ZwQueryInformationProcess" 2007-2-16 03:08 0
renlikun 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	renlikun 16 楼学习了,辛苦!!! 2007-2-16 07:13 0
getiteasy 雪币： 221 活跃值： (70) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 224 粉丝 1 关注私信	getiteasy 17 楼好工具！希望能坚持完善下去！ 2007-2-16 09:13 0
auroraxxx 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 34 粉丝 0 关注私信	auroraxxx 18 楼修复了吗????????????? 2007-2-16 16:01 0
UcPer 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 36 粉丝 0 关注私信	UcPer 19 楼什么破东西把系统给搞崩溃了 HP XP SP2 2007-2-16 16:49 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 20 楼 r0暴力搜索还是头一次见到。。。 2007-2-16 18:07 0
basaiyv1 雪币： 420 活跃值： (49) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 318 粉丝 1 关注私信	basaiyv1 21 楼最初由海风月影* 发布* 效果不错，测试能过themida1.8.5.5的anti 这位也是在"人生如棋"论坛的吧. 2007-2-17 23:04 0
LaraCraft 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 24 粉丝 0 关注私信	LaraCraft 22 楼楼主一定用的绝对硬地址,使用了HOOK, 不然不会只有SP2 XP能跑实际上 SP2就是在有些DLL前面多了个 mov edi,edi 2007-2-19 20:17 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

okdodo

发帖

396

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (21)
xzchina 雪币： 615 活跃值： (1212) 能力值： ( LV4，RANK：50 ) 在线值：发帖 42 回帖 843 粉丝 0 关注私信	xzchina 1 2 楼 BSOD 2007-2-10 12:14 0
kanxue 雪币： 47147 活跃值： (20450) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 3 楼做了次小白，支持继续完善，XP SP2 2007-2-10 12:42 0
疯狂菜鸟雪币： 0 能力值： (RANK：10 ) 在线值：发帖 48 回帖 410 粉丝 0 关注私信	疯狂菜鸟 4 楼最初由 kanxue* 发布* 做了次小白，支持继续完善，XP SP2 哈哈看雪真可爱用的还是这样可爱的显示器换个显示器`对眼睛和皮肤好点我这里测试通过一切正常 SP2 2007-2-10 12:46 0
kanxue 雪币： 47147 活跃值： (20450) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 5 楼最初由疯狂菜鸟* 发布* 哈哈看雪真可爱用的还是这样可爱的显示器换个显示器`对眼睛和皮肤好点我这里测试通过一切正常 SP2 呵～谢谢关心，照相机有些变形，是LCD，SyncMaster 151s 2007-2-10 13:00 0
okdodo 雪币： 233 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 12 回帖 396 粉丝 1 关注私信	okdodo 2 6 楼 TO kanxue,xzchina: 出现蓝屏是在什么情况下？刚启动KMW？如果方便，请说下机器配置，谢谢。 2007-2-10 13:04 0
kanxue 雪币： 47147 活跃值： (20450) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 7 楼最初由 okdodo* 发布* TO kanxue,xzchina: 出现蓝屏是在什么情况下？刚启动KMW？如果方便，请说下机器配置，谢谢。刚启动时。 Celeron 331,915，512M 2007-2-10 13:07 0
qiweixue 雪币： 258 活跃值： (230) 能力值： ( LV12，RANK：770 ) 在线值：发帖 47 回帖 1136 粉丝 3 关注私信	qiweixue 19 8 楼第一没跑od,直接运行楼主的东东. 抛出一个异常,_KiTrapOE(14号)中断例程接管.si里.重启了. 第二次把od,1.1跑起来,运行ok了. 2007-2-10 14:49 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 23 关注私信	笨笨雄 14 9 楼楼上怎么不顺便把BUG解决 2007-2-11 08:33 0
黑夜狂想雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	黑夜狂想 10 楼为什么下载的压缩包解压出错。 2007-2-12 09:10 0
wangshq397 雪币： 277 活跃值： (312) 能力值： ( LV9，RANK：330 ) 在线值：发帖 59 回帖 650 粉丝 0 关注私信	wangshq397 8 11 楼驱动启动起来后怎么停止呀？ 2007-2-12 13:11 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 12 楼效果不错，测试能过themida1.8.5.5的anti 2007-2-13 10:33 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 13 楼最初由 wangshq397* 发布* 驱动启动起来后怎么停止呀？退出应该就停止了，我这里用OD运行themida后，退出kmw，themida也退出了 2007-2-13 10:43 0
云重雪币： 213 活跃值： (96) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 258 粉丝 1 关注私信	云重 1 14 楼我也被搞蓝屏了啊 2007-2-14 16:15 0
feiproxy 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 130 粉丝 0 关注私信	feiproxy 15 楼 "CSRSS.EXE" "EExEnumHandleTable" "ZwQueryInformationProcess" 2007-2-16 03:08 0
renlikun 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	renlikun 16 楼学习了,辛苦!!! 2007-2-16 07:13 0
getiteasy 雪币： 221 活跃值： (70) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 224 粉丝 1 关注私信	getiteasy 17 楼好工具！希望能坚持完善下去！ 2007-2-16 09:13 0
auroraxxx 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 34 粉丝 0 关注私信	auroraxxx 18 楼修复了吗????????????? 2007-2-16 16:01 0
UcPer 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 36 粉丝 0 关注私信	UcPer 19 楼什么破东西把系统给搞崩溃了 HP XP SP2 2007-2-16 16:49 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 20 楼 r0暴力搜索还是头一次见到。。。 2007-2-16 18:07 0
basaiyv1 雪币： 420 活跃值： (49) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 318 粉丝 1 关注私信	basaiyv1 21 楼最初由海风月影* 发布* 效果不错，测试能过themida1.8.5.5的anti 这位也是在"人生如棋"论坛的吧. 2007-2-17 23:04 0
LaraCraft 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 24 粉丝 0 关注私信	LaraCraft 22 楼楼主一定用的绝对硬地址,使用了HOOK, 不然不会只有SP2 XP能跑实际上 SP2就是在有些DLL前面多了个 mov edi,edi 2007-2-19 20:17 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复