sharpod插件下載 最新更新|軟件分類|軟件專題|手機(jī)版|論壇轉(zhuǎn)貼|軟件發(fā)布

您當(dāng)前所在位置:首頁編程開發(fā)編程輔助 → sharpod反反調(diào)試插件 v0.6b 最新版

sharpod反反調(diào)試插件

v0.6b 最新版

sharpod反反調(diào)試插件
  • 軟件大。1.0M
  • 軟件語言:中文
  • 軟件類型:國產(chǎn)軟件 / 編程輔助
  • 軟件授權(quán):免費(fèi)軟件
  • 更新時間:2020-09-29 12:02
  • 軟件等級:4星
  • 應(yīng)用平臺:WinXP, Win7, Win8, Win10
  • 軟件官網(wǎng):

ITMOP本地下載文件大。1.0M

點(diǎn)贊好評0%(0) 差評差評0%(0)

軟件介紹人氣軟件精品推薦相關(guān)文章網(wǎng)友評論下載地址

小編為您推薦:x64dbgsharpod調(diào)試插件

sharpod反反調(diào)試插件插的兩張圖,一個是該插件在ollydbg的推薦配置設(shè)置,一個是在x64dbg里的,各位可以參考看看,畢竟在不同的反匯編軟件里,導(dǎo)入該插件,雖然在功能選項(xiàng)上一致,但是是否可以開啟和兼容與否,還是需要考慮的問題!

sharpod插件簡介

SharpOD x64 插件是一款只支持64位系統(tǒng)的(Win7,8,10) 反反調(diào)試插件,并且支持x32dbg和x64dbg

sharpod下載

更新說明

1.增加 x64dbg Remove EP Break

2.增加 x64dbg Atti_Atti Attach

3.增加 ollydbg 隨機(jī)三級菜單標(biāo)題

4.完善下 VMP3.1(above)功能。

5.修復(fù) x64dbg 以管理員重新啟動,窗口消息未還原,崩潰的BUG

6.修復(fù) x64dbg 64位程序與火絨安全軟件搶Hook點(diǎn)導(dǎo)致程序崩潰的BUG

7.修復(fù) 取explorer.exe 進(jìn)程PID不到,父進(jìn)程PID變成4的情況。

9.優(yōu)化代碼

sharpod怎么用

安裝

Ollydbg: 拷貝SharpOD x64.dll 到您的OD插件目錄,并且拷貝StrongOD插件到OD插件目錄(StrongOD在64位上主要用于修復(fù)OD的BUG和非常好用的快捷鍵)

然后重啟調(diào)試器在插件菜單中配置

x64dbg: 拷貝對應(yīng)版本的插件到你的x64dbg插件目錄,如64位,拷貝SharpOD x64.dp64文件,然后重啟調(diào)試器在插件菜單中配置

個人見解先來談?wù)劯鞑寮δ?/strong>

StrongOD:非常優(yōu)秀的一款插件,幾乎完美,因在64位系統(tǒng)加載不上驅(qū)動,只能在32位系統(tǒng)上發(fā)揮其威力,海風(fēng)大牛也沒時間更新,這真是個悲劇。

PhantOm: 插件精簡高效,但使用了SSDT Index硬編碼來攔截 wow64cpu!Wow64Transition(32位轉(zhuǎn)64位模式的地方 jmp 0033:xxxxxxxxx)導(dǎo)致兼容性也不是那么的好。

而且處理的東西也非常少,Wow64進(jìn)程的peb64也沒有處理,故導(dǎo)致很多的反調(diào)試過不去。

scyllaHide: x64dbg作者開發(fā)的一款非常優(yōu)秀隱藏插件,同上也是Hook wow64cpu!Wow64Transition(32位轉(zhuǎn)64位模式的地方 jmp 0033:xxxxxxxxx),而且處理了非常多的地方。

我看完了scyllaHide的源代碼,界面復(fù)雜,發(fā)現(xiàn)作者有點(diǎn)賴 - -!,很多地方處理不夠精細(xì),并且硬件斷點(diǎn)保護(hù)作者嫌64位麻煩也是沒寫,并且Hook位置不夠深,別人隨便調(diào)用個64位API就檢測到了。

titanHide: 在64位系統(tǒng)上SSDT Hook,首先用戶就要去過一遍PG了,而且處理的地方也不多。

以上插件各有其優(yōu)缺點(diǎn),就是找不到一個完美點(diǎn)的,且現(xiàn)在越來越多的64位系統(tǒng),在64位系統(tǒng)上沒能找到一款順手插件導(dǎo)致被很多軟件anti到,故編寫了SharpOD x64插件。。

SharpOD x64主要實(shí)現(xiàn)是向wow64進(jìn)程 ,注入純64位code,并且hook ntdll64 api來實(shí)現(xiàn)的,這樣做要比Hook wow64cpu!Wow64Transition要底層的多。

功能說明

->Hide PEB (重載程序生效)

1

隱藏PEB,處理掉以下特征

peb.BeingDebugged & wow64.peb64.BeingDebugged

peb.NtGlobalFlag & wow64.peb64.NtGlobalFlag

peb.processHeap.HeapFlags & wow64.peb64.processHeap.HeapFlags

peb.processHeap.ForceFlags & wow64.peb64.processHeap.ForceFlags

-> Change Caption (重啟調(diào)試器生效)

1

2

無力吐槽的功能,恕我直言,一切帶特征的反調(diào)試都是不安全的。

而這個功能就是在改變調(diào)試器 窗口標(biāo)題、菜單名稱 來防止小學(xué)生的枚舉窗口以及菜單檢測。

-> Hide Process (重載程序生效)

1

隱藏進(jìn)程功能,只針對正在調(diào)試的進(jìn)程,在NtQuerySystemInformation斷鏈

-> Fake ParentProcess (重載程序生效)

1

修改父進(jìn)程標(biāo)識符,調(diào)試的進(jìn)程 父進(jìn)程會變成explorer.exe的,如果取不到explorer.exe 的pid,則會把父進(jìn)程變成4.

-> Drag Attach (重啟調(diào)試器生效)

1

感覺這個是最給力的更新了,只要拖動調(diào)試器左上角的圖標(biāo) 到目標(biāo)窗口上,即可附加進(jìn)程。

->Hook *ZwFunctions (重載程序生效)

1

2

Hook Zw系列函數(shù)

這個處理的東西太多了,以下Nt函數(shù)

NtQuerySystemInformation

SystemKernelDebuggerInformation

SystemProcessInformation

SystemHandleInformation

NtClose

invalid Handle

NtQueryInformationProcess

ProcessBasicInformation

ProcessDebugPort

ProcessDebugObjectHandle

ProcessDebugFlags

NtSetInformationThread

ThreadHideFromDebugger

NtDuplicateObject

NtQueryObject

ObjectTypesInformation -> DebugObject

NtYieldExecution

return STATUS_NO_YIELD_PERFORMED

-> Remove DebugProvileges (重載程序生效)

1

2

移除調(diào)試進(jìn)程的調(diào)試權(quán)限

因?yàn)槟J(rèn)情況下進(jìn)程沒有SeDebugPrivilege權(quán)限,調(diào)試時會從調(diào)試器繼承這個權(quán)限,以不免有人利用這一點(diǎn)。默認(rèn)不建議開啟

-> VMP 3.1(above) (重載程序生效)

1

2

3

過VMP3.1以上版本的反調(diào)試

VMProtect 3.1版本開始有重大的更新,從這個版本開始,直接模擬Wow64 調(diào)用syscall進(jìn)入內(nèi)核,32位的系統(tǒng)也是直接調(diào)用特權(quán)指令systnter進(jìn)入內(nèi)核,查詢檢測ProcessDebugObjectHandle,所以在應(yīng)用層幾乎沒有辦法攔截他。

我這里使用了一個小trick繞過了他的檢測。

-> Protect Drx (重載程序生效)

1

保護(hù)硬件斷點(diǎn)

ZwSetcontextThread

ZwGetContextThread

KiUserExceptionDispatcher -> if Wow64PrepareForException

RtlDispatchException

RtlRestoreContext

->Driver Hook SSDT (重啟調(diào)試器生效)

1

使用此功能,所有用戶電腦都得去過PatchGuard,非常麻煩,等必要的時候在加上去。

->Driver Hook ShadowSSDT (重啟調(diào)試器生效)

1

->Driver Dbg ValidaccessMask (重啟調(diào)試器生效)

1

2

此功能專門針對那些 模仿TP反調(diào)試 來清除你的DebugObject->ValidAccessMask ,誰給你的這么大的權(quán)力來全局清除我機(jī)器的調(diào)試對象?

現(xiàn)象是你的調(diào)試器無法拖入任何程序。

->Driver bypass ObjectHook (重啟調(diào)試器生效)

1

2

繞過 object hook,這個保護(hù)在 64位系統(tǒng)上用的最多,他可以過濾掉你打開進(jìn)程的權(quán)限。

比如讓你無法對目標(biāo)進(jìn)程內(nèi)存讀寫等。開啟這個功能即可繞過這個保護(hù)。但好像win10系統(tǒng)下會觸發(fā)PG

更多>>軟件截圖

推薦軟件

    其他版本下載

      精品推薦

      相關(guān)文章

      下載地址

      • sharpod反反調(diào)試插件 v0.6b 最新版

      查看所有評論>>網(wǎng)友評論

      發(fā)表評論

      (您的評論需要經(jīng)過審核才能顯示) 網(wǎng)友粉絲QQ群號:203046401

      查看所有0條評論>>

      更多>>猜你喜歡