• OD

    将插件放到od的plugin目录下,运行原版od,然后关闭
    找到ollydbg.ini中的[Plugin StrongOD]项
    自己改一下       
    DriverName                        -                驱动文件名,设备对象名
    DriverKey                                -                和驱动通信的key
    HideWindow                        -   是否隐藏窗口,1为隐藏,0为不隐藏
    HideProcess                        -                是否隐藏od进程,1为隐藏,0为不隐藏
    ProtectProcess        -                是否隐藏保护Od进程,1为保护,0为不保护

    上面5个选项界面上没有,可以设置成自己喜欢的方式,如果不选KernalMode,那么上面5个选项无效


    驱动和phant0m的驱动相比有如下的优点:

    1,支持多个OD,可以支持最多100个OD,而phant0m只支持1个OD
    2,CloseHandle关闭错误句柄的时候返回STATUS_INVALID_HANDLE,而不是STATUS_SUCCESS
    3,xp以上使用NtQueryInformationProcess(hProcess,ProcessDebugObjectHandle,...) 和NtQueryInformationProcess(hProcess,ProcessDebugFlags,...)进行反调试
    4,OD进程中ntdll.dll的一些函数(如:NtOpenProcess)被inline hook的时候会蓝屏

    下面没有特殊说明,都是用原版OD加上StrongOD插件一个插件进行操作

    1.png

    首先把Ollydbg.ini中[Plugin StrongOD]下面的HideWindow,ProtectProcess的值改成1,把KernelMode的值也改成1,保存

    2.png

    1,Themida/WinLicense

    插件最少选项设置
    themida.png

    运行原版OD,载入Themida v1.9.9.0主程序,停在入口后去除所有断点,Shift+F9就跑起来了
    3.png


    2,ExeCryptor v2.4.1

    插件最少选项设置
    Execryptor.png

    运行原版OD,设置断点停在系统断点上
    4.png

    载入ExeCryptor v2.4.1主程序,停在系统断点后,按Alt+B,删除EP断点
    5.png

    然后Shift+F9,即可
    6.png


    3,TTProtect v1.05 DEMO

    插件最少选项设置


    运行原版OD,加载TTProtect v1.05 DEMO主程序,Shift+F9
    7.png

    4,VMProtect v1.65.2

    vmp v1.65 加了对xp系统下OD的新anti
    插件最少选项设置


    运行原版OD,加载VMProtect v1.65.2主程序,Shift+F9
    8.png
     
  • 相关阅读:
    PMM Client 安装异常报错
    安装Docker时错误提示 "could not change group /var/run/docker.sock to docker: group docker not found"的解决方案
    简单概括下MongoDB 4.0 新特性
    MySQL 关于性能的参数配置梳理
    MySQL数据库在IO性能优化方面的设置选择(硬件)
    MongoDB 集合间关联查询后通过$filter进行筛选
    MySQL 基础知识梳理学习(七)----sync_binlog
    第八章 (一)分治 练习题
    第八章 (一)分治
    Logistic回归
  • 原文地址:https://www.cnblogs.com/zerovirs/p/2338267.html
Copyright © 2020-2023  润新知