将插件放到od的plugin目录下,运行原版od,然后关闭
找到ollydbg.ini中的[Plugin StrongOD]项
自己改一下
DriverName - 驱动文件名,设备对象名
DriverKey - 和驱动通信的key
HideWindow - 是否隐藏窗口,1为隐藏,0为不隐藏
HideProcess - 是否隐藏od进程,1为隐藏,0为不隐藏
ProtectProcess - 是否隐藏保护Od进程,1为保护,0为不保护
上面5个选项界面上没有,可以设置成自己喜欢的方式,如果不选KernalMode,那么上面5个选项无效
驱动和phant0m的驱动相比有如下的优点:
1,支持多个OD,可以支持最多100个OD,而phant0m只支持1个OD
2,CloseHandle关闭错误句柄的时候返回STATUS_INVALID_HANDLE,而不是STATUS_SUCCESS
3,xp以上使用NtQueryInformationProcess(hProcess,ProcessDebugObjectHandle,...) 和NtQueryInformationProcess(hProcess,ProcessDebugFlags,...)进行反调试
4,OD进程中ntdll.dll的一些函数(如:NtOpenProcess)被inline hook的时候会蓝屏
找到ollydbg.ini中的[Plugin StrongOD]项
自己改一下
DriverName - 驱动文件名,设备对象名
DriverKey - 和驱动通信的key
HideWindow - 是否隐藏窗口,1为隐藏,0为不隐藏
HideProcess - 是否隐藏od进程,1为隐藏,0为不隐藏
ProtectProcess - 是否隐藏保护Od进程,1为保护,0为不保护
上面5个选项界面上没有,可以设置成自己喜欢的方式,如果不选KernalMode,那么上面5个选项无效
驱动和phant0m的驱动相比有如下的优点:
1,支持多个OD,可以支持最多100个OD,而phant0m只支持1个OD
2,CloseHandle关闭错误句柄的时候返回STATUS_INVALID_HANDLE,而不是STATUS_SUCCESS
3,xp以上使用NtQueryInformationProcess(hProcess,ProcessDebugObjectHandle,...) 和NtQueryInformationProcess(hProcess,ProcessDebugFlags,...)进行反调试
4,OD进程中ntdll.dll的一些函数(如:NtOpenProcess)被inline hook的时候会蓝屏
下面没有特殊说明,都是用原版OD加上StrongOD插件一个插件进行操作
首先把Ollydbg.ini中[Plugin StrongOD]下面的HideWindow,ProtectProcess的值改成1,把KernelMode的值也改成1,保存
1,Themida/WinLicense
插件最少选项设置
运行原版OD,载入Themida v1.9.9.0主程序,停在入口后去除所有断点,Shift+F9就跑起来了
2,ExeCryptor v2.4.1
插件最少选项设置
运行原版OD,设置断点停在系统断点上
载入ExeCryptor v2.4.1主程序,停在系统断点后,按Alt+B,删除EP断点
然后Shift+F9,即可
3,TTProtect v1.05 DEMO
插件最少选项设置
![](http://www.unpack.cn/attachment.php?aid=19564)
运行原版OD,加载TTProtect v1.05 DEMO主程序,Shift+F9
4,VMProtect v1.65.2
vmp v1.65 加了对xp系统下OD的新anti
插件最少选项设置
![](http://www.unpack.cn/attachment.php?aid=19565)
运行原版OD,加载VMProtect v1.65.2主程序,Shift+F9
![1.png 1.png](http://pic.unpack.cn:88/forum/month_0809/20080919_86b197813c752eea52d8pHe4fb9oePCS.png)
首先把Ollydbg.ini中[Plugin StrongOD]下面的HideWindow,ProtectProcess的值改成1,把KernelMode的值也改成1,保存
![2.png 2.png](http://pic.unpack.cn:88/forum/month_0809/20080919_901dfe379e6c02ecac36nxi1SvWAG7ii.png)
1,Themida/WinLicense
插件最少选项设置
![themida.png themida.png](http://pic.unpack.cn:88/forum/month_0809/20080919_7782ea1398d9187b04ffI1ck3aOM1stp.png)
运行原版OD,载入Themida v1.9.9.0主程序,停在入口后去除所有断点,Shift+F9就跑起来了
![3.png 3.png](http://pic.unpack.cn:88/forum/month_0809/20080919_28ae1f81525b44db7f79ZFG1tWOH0ujK.png)
2,ExeCryptor v2.4.1
插件最少选项设置
![Execryptor.png Execryptor.png](http://pic.unpack.cn:88/forum/month_0809/20080919_17f33a990643a1d7ff35kIntaiLWvPQI.png)
运行原版OD,设置断点停在系统断点上
![4.png 4.png](http://pic.unpack.cn:88/forum/month_0809/20080919_cce439b5ba00589c8037FWkoemBt4mdX.png)
载入ExeCryptor v2.4.1主程序,停在系统断点后,按Alt+B,删除EP断点
![5.png 5.png](http://pic.unpack.cn:88/forum/month_0809/20080919_7886d5e896a536d3e015TtfmQaHWTl5B.png)
然后Shift+F9,即可
![6.png 6.png](http://pic.unpack.cn:88/forum/month_0809/20080919_2a175d08566aaec7f3beXVCym1wqoz78.png)
3,TTProtect v1.05 DEMO
插件最少选项设置
运行原版OD,加载TTProtect v1.05 DEMO主程序,Shift+F9
![7.png 7.png](http://pic.unpack.cn:88/forum/month_0809/20080919_cdc350a217cfc4016ab65TdZmCtKDW06.png)
4,VMProtect v1.65.2
vmp v1.65 加了对xp系统下OD的新anti
插件最少选项设置
运行原版OD,加载VMProtect v1.65.2主程序,Shift+F9
![8.png 8.png](http://pic.unpack.cn:88/forum/month_0809/20080919_866c0c6a7579d51ec1f8IEbyrbDsB2bv.png)