sharpod反反调试插件
v0.6b 最新版 发表评论
- 软件类别:编程辅助
- 软件大小:1.05 MB
- 更新时间:2020-09-29 12:02
- 软件版本:v0.6b 最新版
- 软件语言:中文
- 软件等级:
- 官方网址:暂无
评分:
好评:1
差评:0

软件介绍
sharpod反反调试插件插的两张图,一个是该插件在ollydbg的推荐配置设置,一个是在x64dbg里的,各位可以参考看看,毕竟在不同的反汇编软件里,导入该插件,虽然在功能选项上一致,但是是否可以开启和兼容与否,还是需要考虑的问题!
sharpod插件简介
SharpOD x64 插件是一款只支持64位系统的(Win7,8,10) 反反调试插件,并且支持x32dbg和x64dbg

更新说明
1.增加 x64dbg Remove EP Break
2.增加 x64dbg Atti_Atti Attach
3.增加 ollydbg 随机三级菜单标题
4.完善下 VMP3.1(above)功能。
5.修复 x64dbg 以管理员重新启动,窗口消息未还原,崩溃的BUG
6.修复 x64dbg 64位程序与火绒安全软件抢Hook点导致程序崩溃的BUG
7.修复 取explorer.exe 进程PID不到,父进程PID变成4的情况。
9.优化代码
sharpod怎么用
安装
Ollydbg: 拷贝SharpOD x64.dll 到您的OD插件目录,并且拷贝StrongOD插件到OD插件目录(StrongOD在64位上主要用于修复OD的BUG和非常好用的快捷键)
然后重启调试器在插件菜单中配置
x64dbg: 拷贝对应版本的插件到你的x64dbg插件目录,如64位,拷贝SharpOD x64.dp64文件,然后重启调试器在插件菜单中配置
个人见解先来谈谈各插件功能
StrongOD:非常优秀的一款插件,几乎完美,因在64位系统加载不上驱动,只能在32位系统上发挥其威力,海风大牛也没时间更新,这真是个悲剧。
PhantOm: 插件精简高效,但使用了SSDT Index硬编码来拦截 wow64cpu!Wow64Transition(32位转64位模式的地方 jmp 0033:xxxxxxxxx)导致兼容性也不是那么的好。
而且处理的东西也非常少,Wow64进程的peb64也没有处理,故导致很多的反调试过不去。
scyllaHide: x64dbg作者开发的一款非常优秀隐藏插件,同上也是Hook wow64cpu!Wow64Transition(32位转64位模式的地方 jmp 0033:xxxxxxxxx),而且处理了非常多的地方。
我看完了scyllaHide的源代码,界面复杂,发现作者有点赖 - -!,很多地方处理不够精细,并且硬件断点保护作者嫌64位麻烦也是没写,并且Hook位置不够深,别人随便调用个64位API就检测到了。
titanHide: 在64位系统上SSDT Hook,首先用户就要去过一遍PG了,而且处理的地方也不多。
以上插件各有其优缺点,就是找不到一个完美点的,且现在越来越多的64位系统,在64位系统上没能找到一款顺手插件导致被很多软件anti到,故编写了SharpOD x64插件。。
SharpOD x64主要实现是向wow64进程 ,注入纯64位code,并且hook ntdll64 api来实现的,这样做要比Hook wow64cpu!Wow64Transition要底层的多。
功能说明
->Hide PEB (重载程序生效)
1
隐藏PEB,处理掉以下特征
peb.BeingDebugged & wow64.peb64.BeingDebugged
peb.NtGlobalFlag & wow64.peb64.NtGlobalFlag
peb.processHeap.HeapFlags & wow64.peb64.processHeap.HeapFlags
peb.processHeap.ForceFlags & wow64.peb64.processHeap.ForceFlags
-> Change Caption (重启调试器生效)
1
2
无力吐槽的功能,恕我直言,一切带特征的反调试都是不安全的。
而这个功能就是在改变调试器 窗口标题、菜单名称 来防止小学生的枚举窗口以及菜单检测。
-> Hide Process (重载程序生效)
1
隐藏进程功能,只针对正在调试的进程,在NtQuerySystemInformation断链
-> Fake ParentProcess (重载程序生效)
1
修改父进程标识符,调试的进程 父进程会变成explorer.exe的,如果取不到explorer.exe 的pid,则会把父进程变成4.
-> Drag Attach (重启调试器生效)
1
感觉这个是最给力的更新了,只要拖动调试器左上角的图标 到目标窗口上,即可附加进程。
->Hook *ZwFunctions (重载程序生效)
1
2
Hook Zw系列函数
这个处理的东西太多了,以下Nt函数
NtQuerySystemInformation
SystemKernelDebuggerInformation
SystemProcessInformation
SystemHandleInformation
NtClose
invalid Handle
NtQueryInformationProcess
ProcessBasicInformation
ProcessDebugPort
ProcessDebugObjectHandle
ProcessDebugFlags
NtSetInformationThread
ThreadHideFromDebugger
NtDuplicateObject
NtQueryObject
ObjectTypesInformation -> DebugObject
NtYieldExecution
return STATUS_NO_YIELD_PERFORMED
-> Remove DebugProvileges (重载程序生效)
1
2
移除调试进程的调试权限
因为默认情况下进程没有SeDebugPrivilege权限,调试时会从调试器继承这个权限,以不免有人利用这一点。默认不建议开启
-> VMP 3.1(above) (重载程序生效)
1
2
3
过VMP3.1以上版本的反调试
VMProtect 3.1版本开始有重大的更新,从这个版本开始,直接模拟Wow64 调用syscall进入内核,32位的系统也是直接调用特权指令systnter进入内核,查询检测ProcessDebugObjectHandle,所以在应用层几乎没有办法拦截他。
我这里使用了一个小trick绕过了他的检测。
-> Protect Drx (重载程序生效)
1
保护硬件断点
ZwSetcontextThread
ZwGetContextThread
KiUserExceptionDispatcher -> if Wow64PrepareForException
RtlDispatchException
RtlRestoreContext
->Driver Hook SSDT (重启调试器生效)
1
使用此功能,所有用户电脑都得去过PatchGuard,非常麻烦,等必要的时候在加上去。
->Driver Hook ShadowSSDT (重启调试器生效)
1
->Driver Dbg ValidaccessMask (重启调试器生效)
1
2
此功能专门针对那些 模仿TP反调试 来清除你的DebugObject->ValidAccessMask ,谁给你的这么大的权力来全局清除我机器的调试对象?
现象是你的调试器无法拖入任何程序。
->Driver bypass ObjectHook (重启调试器生效)
1
2
绕过 object hook,这个保护在 64位系统上用的最多,他可以过滤掉你打开进程的权限。
比如让你无法对目标进程内存读写等。开启这个功能即可绕过这个保护。但好像win10系统下会触发PG
下载地址
Pc版sharpod反反调试插件 v0.6b 最新版
本类最新
Trae电脑版2.10.0
微软.NET Frameworkv4.7.2.0 官方完整版
大漠插件中文汉化模块源码免费版
ApiPost(api调试)v7.0.2 官方版
x64dbg调试工具v2022.08.08 绿色汉化版
Spire.Doc for Javav2.7.3 免费版
SDK Platform Tools for windowsv33.0.1 官方最新版
Postman安装包64位版v9.15.2 官方版
.net程序反编译软件中文版(DotNet Helper)v2.2 绿色版
.net混淆器汉化版(dotNET Reactor)v5.9.8.0 绿色版
.NET代码保护工具.NET Reactorv5.9.8.0 中文汉化版
开源脱壳工具.Net Reactor Slayerv3.0.0.0 中文免费版
鲸鱼无线模块编程PC电脑版v1.0.3 官方最新版
x64dbg辅助管理器v2022.02.25 汉化优化安装版
JDK绿色免安装版附JAVA环境变量一键配置v1.8.0.151 官方版
相关软件
仙侠兔尘箓官方版v1.0仙侠兔尘箓最新版是一款放置类型的修仙手游,玩家们可以自由的去操作着角色来进行各种试炼和挑战,不断的通过各种资源的获取来培养提升角色的能力,丰富多样的游戏内容玩起来更加精彩!游戏介绍控制主人公每天都要去完成各种
x64dbg调试工具v2022.08.08 绿色汉化版x64dbg是win平台非常好用的调试器,适合64位操作系统使用。x64dbg可以自定义颜色,根据用户需要提供c编写环境。菜单栏简洁明了,常用的功能都已经集成,大大提高效率,喜欢的就来it猫扑网下载,本版文为官方汉化版。x64dbg调试工
x64dbg辅助管理器v2022.02.25 汉化优化安装版x64dbg辅助管理器是结合x64dbg调试工具使用的一个工具,x64dbg官方开源的插件本身就很多,不过这个是网友利用ahk和Delphi两种编程语言打造的开发辅助工具,在您使用x64dbg中能非常直观的显示操作进程。使用方法:请把下载到
反汇编逆向神器x64dbg+中文字符串搜索插件v2023.01.25 修订版反汇编逆向神器x64dbg+中文字符串搜索插件是一款比OllyDbg还要优秀的调试器,为什么这么说,因为x64dbg不仅支持中文,而且可以对64位系统进行分析,这是巨大优势,这里除了分享软件本身之外还有一个字符搜索插件打包了。关于x6
下载排行
- 1httpclient-4.2.3.jar依赖包
- 2apktool jar包
- 3Device Tree设备堆栈查看工具
- 4雨田静态分析系统(c语言静态分析工具)
- 5jQuery手风琴图片相册特效插件
- 6RegexBuddy(正则表达式处理器)
- 7activation.jar.zip
- 8mysql-connector-java-5.1.17-bin.jar(MySQL JDBC驱动包)
- 9Diffinity代码对比工具
- 10sublime emmet插件

JSCompress(JS脚本代码压缩)
GCViewer(GC日志分析工具)











网友评论
查看所有0条评论