将插件放到od的plugin目录下,运行原版od,然后关闭
找到ollydbg.ini中的[Plugin StrongOD]项
自己改一下
DriverName - 驱动文件名,设备对象名
DriverKey - 和驱动通信的key
HideWindow - 是否隐藏窗口,1为隐藏,0为不隐藏
HideProcess - 是否隐藏od进程,1为隐藏,0为不隐藏
ProtectProcess - 是否隐藏保护Od进程,1为保护,0为不保护
上面5个选项界面上没有,可以设置成自己喜欢的方式,如果不选KernalMode,那么上面5个选项无效
驱动和phant0m的驱动相比有如下的优点:
1,支持多个OD,可以支持最多100个OD,而phant0m只支持1个OD
2,CloseHandle关闭错误句柄的时候返回STATUS_INVALID_HANDLE,而不是STATUS_SUCCESS
3,xp以上使用NtQueryInformationProcess(hProcess,ProcessDebugObjectHandle,...) 和NtQueryInformationProcess(hProcess,ProcessDebugFlags,...)进行反调试
4,OD进程中ntdll.dll的一些函数(如:NtOpenProcess)被inline hook的时候会蓝屏
找到ollydbg.ini中的[Plugin StrongOD]项
自己改一下
DriverName - 驱动文件名,设备对象名
DriverKey - 和驱动通信的key
HideWindow - 是否隐藏窗口,1为隐藏,0为不隐藏
HideProcess - 是否隐藏od进程,1为隐藏,0为不隐藏
ProtectProcess - 是否隐藏保护Od进程,1为保护,0为不保护
上面5个选项界面上没有,可以设置成自己喜欢的方式,如果不选KernalMode,那么上面5个选项无效
驱动和phant0m的驱动相比有如下的优点:
1,支持多个OD,可以支持最多100个OD,而phant0m只支持1个OD
2,CloseHandle关闭错误句柄的时候返回STATUS_INVALID_HANDLE,而不是STATUS_SUCCESS
3,xp以上使用NtQueryInformationProcess(hProcess,ProcessDebugObjectHandle,...) 和NtQueryInformationProcess(hProcess,ProcessDebugFlags,...)进行反调试
4,OD进程中ntdll.dll的一些函数(如:NtOpenProcess)被inline hook的时候会蓝屏
下面没有特殊说明,都是用原版OD加上StrongOD插件一个插件进行操作
首先把Ollydbg.ini中[Plugin StrongOD]下面的HideWindow,ProtectProcess的值改成1,把KernelMode的值也改成1,保存
1,Themida/WinLicense
插件最少选项设置
运行原版OD,载入Themida v1.9.9.0主程序,停在入口后去除所有断点,Shift+F9就跑起来了
2,ExeCryptor v2.4.1
插件最少选项设置
运行原版OD,设置断点停在系统断点上
载入ExeCryptor v2.4.1主程序,停在系统断点后,按Alt+B,删除EP断点
然后Shift+F9,即可
3,TTProtect v1.05 DEMO
插件最少选项设置
运行原版OD,加载TTProtect v1.05 DEMO主程序,Shift+F9
4,VMProtect v1.65.2
vmp v1.65 加了对xp系统下OD的新anti
插件最少选项设置
运行原版OD,加载VMProtect v1.65.2主程序,Shift+F9
首先把Ollydbg.ini中[Plugin StrongOD]下面的HideWindow,ProtectProcess的值改成1,把KernelMode的值也改成1,保存
1,Themida/WinLicense
插件最少选项设置
运行原版OD,载入Themida v1.9.9.0主程序,停在入口后去除所有断点,Shift+F9就跑起来了
2,ExeCryptor v2.4.1
插件最少选项设置
运行原版OD,设置断点停在系统断点上
载入ExeCryptor v2.4.1主程序,停在系统断点后,按Alt+B,删除EP断点
然后Shift+F9,即可
3,TTProtect v1.05 DEMO
插件最少选项设置
运行原版OD,加载TTProtect v1.05 DEMO主程序,Shift+F9
4,VMProtect v1.65.2
vmp v1.65 加了对xp系统下OD的新anti
插件最少选项设置
运行原版OD,加载VMProtect v1.65.2主程序,Shift+F9