• OD


    将插件放到od的plugin目录下,运行原版od,然后关闭
    找到ollydbg.ini中的[Plugin StrongOD]项
    自己改一下       
    DriverName                        -                驱动文件名,设备对象名
    DriverKey                                -                和驱动通信的key
    HideWindow                        -   是否隐藏窗口,1为隐藏,0为不隐藏
    HideProcess                        -                是否隐藏od进程,1为隐藏,0为不隐藏
    ProtectProcess        -                是否隐藏保护Od进程,1为保护,0为不保护

    上面5个选项界面上没有,可以设置成自己喜欢的方式,如果不选KernalMode,那么上面5个选项无效


    驱动和phant0m的驱动相比有如下的优点:

    1,支持多个OD,可以支持最多100个OD,而phant0m只支持1个OD
    2,CloseHandle关闭错误句柄的时候返回STATUS_INVALID_HANDLE,而不是STATUS_SUCCESS
    3,xp以上使用NtQueryInformationProcess(hProcess,ProcessDebugObjectHandle,...) 和NtQueryInformationProcess(hProcess,ProcessDebugFlags,...)进行反调试
    4,OD进程中ntdll.dll的一些函数(如:NtOpenProcess)被inline hook的时候会蓝屏

    下面没有特殊说明,都是用原版OD加上StrongOD插件一个插件进行操作

    1.png

    首先把Ollydbg.ini中[Plugin StrongOD]下面的HideWindow,ProtectProcess的值改成1,把KernelMode的值也改成1,保存

    2.png

    1,Themida/WinLicense

    插件最少选项设置
    themida.png

    运行原版OD,载入Themida v1.9.9.0主程序,停在入口后去除所有断点,Shift+F9就跑起来了
    3.png


    2,ExeCryptor v2.4.1

    插件最少选项设置
    Execryptor.png

    运行原版OD,设置断点停在系统断点上
    4.png

    载入ExeCryptor v2.4.1主程序,停在系统断点后,按Alt+B,删除EP断点
    5.png

    然后Shift+F9,即可
    6.png


    3,TTProtect v1.05 DEMO

    插件最少选项设置


    运行原版OD,加载TTProtect v1.05 DEMO主程序,Shift+F9
    7.png

    4,VMProtect v1.65.2

    vmp v1.65 加了对xp系统下OD的新anti
    插件最少选项设置


    运行原版OD,加载VMProtect v1.65.2主程序,Shift+F9
    8.png
     

  • 相关阅读:
    JMeter BeanShell示例
    xpath 函数大全
    XPath教程
    clickhouse集群部署21.6
    mysqldump常见用法(转载)
    从零到一k8s(四)云原生存储Longhorn
    从零到一k8s(三)dns 配置
    centos matplot中文字体显示方框问题解决
    python2 requests模块警告
    python将多张图片显示在一张画布上
  • 原文地址:https://www.cnblogs.com/zerovirs/p/2338267.html
Copyright © 2020-2023  润新知