OllyDBG v1.10 plugin - StrongOD v0.18 [2008.09.18]
from:Unpack.cn作者:海风月影OllyDBG v1.10 plugin- StrongOD v0.18
by 海风月影
====================================================================
1,修复了Ctrl+G计算rva,offset时的一个小BUG
2,当程序不是运行的状态时,Detach前会先运行程序
3,修复原版OD的数据区复制BUG
4,修复od运行后CPU占用率很高的BUG
5,可以设置是否跳过一些异常处理
1,跳过一些OD处理不当的异常
2,正确处理int 2d指令
1,加入驱动,保护进程,隐藏窗口,过绝大部分反调试
2,驱动支持自定义设备名(ollydbg.ini中的DeviceName,设备名不超过8个字符)
ollydbg.ini中的中,可以自己设定
HideWindow=1 隐藏窗口
HideProcess=1隐藏进程
ProtectProcess=1保护进程
DriverKey=-82693034和驱动通信的key
DriverName=fengyue0驱动设备名(不超过8个字符)
3,将OD创建进程的父进程改成explorer.exe (抄自shoooo的代码)
/////////////////////////////////////////////////////////////
这个版本增加了驱动,如果蓝屏了,请将minidump传到论坛上来,谢谢
尽量用OllyDbg原版,一般情况不需要和其他的anti-anti plugin插件一起用(包括phant0m)
将插件放到od的plugin目录下,运行原版od,然后关闭
找到ollydbg.ini中的项
自己改一下
DriverName-驱动文件名,设备对象名
DriverKey-和驱动通信的key
HideWindow- 是否隐藏窗口,1为隐藏,0为不隐藏
HideProcess-是否隐藏od进程,1为隐藏,0为不隐藏
ProtectProcess-是否隐藏保护Od进程,1为保护,0为不保护
上面5个选项界面上没有,可以设置成自己喜欢的方式,如果不选KernalMode,那么上面5个选项无效
驱动和phant0m的驱动相比有如下的优点:
1,支持多个OD,可以支持最多100个OD,而phant0m只支持1个OD
2,CloseHandle关闭错误句柄的时候返回STATUS_INVALID_HANDLE,而不是STATUS_SUCCESS
3,xp以上使用NtQueryInformationProcess(hProcess,ProcessDebugObjectHandle,...)和NtQueryInformationProcess(hProcess,ProcessDebugFlags,...)进行反调试
4,OD进程中ntdll.dll的一些函数(如:NtOpenProcess)被inline hook的时候会蓝屏 哈哈,H你准备卖钱吗?海风大大是卖10UB的,早知道等你的啦,哈哈 好东东,幸好我还没有买 白拿了哦 我也没买。。不过真是好东西。支持了。 谢谢楼主,我收下了. StrongOD很强大,原版OD加一个插件就OK了~ 还好问了一下,没有买,呵呵,谢谢,Hmily。 海风的东东很强大,感谢H分享 咋那么贵啊..................................