Anti OD new~
本帖最后由 20120427 于 2016-6-10 15:21 编辑{:17_1056:} 发个Anti OD,这只是个测试,测试你的OD能否正常调试运行
2016.06.10更新反调试测试,其中加入了在启动前对当前打开文件夹的检测,如果发现打开了OD的文件夹,自动在OD插件文件夹加入一个反调试插件破坏OD的正常调试功能下同,
双进程,其中一个程序释放在临时文件夹,用于附加主进程,使主进程无法被OD附加,具有反附加的效果!检测OD有多种:窗口检测、驱动检测、文件夹检测,如果被检测到就会创建一个全局钩子,
使OD自动加载反调试插件,破坏OD的正常调试功能,并对内存进行校验防止下断,如果检测下断,就会产生异常!加了VM保护之后,貌似更加强大,一般未进行任何修改、吾爱破解版OD都会触发反调试
如需测试,请在虚拟机里进行
下载地址:http://pan.baidu.com/s/1c2c8DW0
火眼分析:http://fireeye.ijinshan.com/anal ... d1f979b&type=1#full
哈勃分析:https://habo.qq.com/file/showdetail?pk=ADcGZF1rB2QIPFs6
2015.10.19更新anti od 测试,本次使用了腾讯TP驱动保护进程,如果阻止加载TP驱动,则不会被驱动保护
驱动保护效果:
下载地址:http://pan.baidu.com/s/1i3KtkCt (AntiOD易语言模块+例子)
请在虚拟机里测试
系统会出现什么问题这个我还没有遇到过,我自己就是本机上调试的,不然也不会发到论坛上,目前我写的破解补丁、破解辅助都加了这个东西,也没见谁说系统要重装,以免大家出现什么问题请在虚拟机里运行,我只在win7 、 XP系统 vps上测试过!
主要行为:全局钩子注入到其他进程,也会注入到OD的进程,发现进程目录存在Ollydbg.exe 插件目录的一些OD插件 就会HOOK OD的几个api,无法创建打开进程、无法调试附加、无法读写内存,还有一些反调试的方法,一些进程被检测出调试行为、一些api被hook 、下API断点 都会触发除零异常,还有检测菜单标题是否是OD,会关闭OD。主要源码在17楼,菜鸟只会写出这种档次,没能耐写出TP那种高档次的驱动保护
截图:
{:1_925:}我只在win7、xp 测试过,全局钩子注入到其他进程,也会注入到OD的进程,发现进程目录存在Ollydbg.exe 插件目录的一些OD插件 就会HOOK OD的几个api,无法创建打开进程、无法调试附加、无法读写内存,还有一些反调试的方法,一些进程被检测出调试行为、一些api被hook都会触发除零异常,还有检测菜单标题是否是OD会关闭OD 拓海真一 发表于 2015-9-26 18:07
你运行完也不卸载钩子? 我重启他还给我注入钩子
注销系统或者重启系统,钩子就不存在了直接把那个dll写进了OD的插件目录下了,你一打开OD就会被设置全局钩子,同时会hook那些api使OD无法调试,不删除掉那个dll不管是不是重启系统了,你一打开OD就会设置全局钩子{:1_926:}
前排膜拜大牛
=_=假是什么鬼,枚举窗口这种的就不要了吧,Dll也没起作用,毕竟我HOOK自身了 好厉害,发现论坛的OD过不了{:1_906:} 蚯蚓翔龙 发表于 2015-9-26 10:33
=_=假是什么鬼,枚举窗口这种的就不要了吧,Dll也没起作用,毕竟我HOOK自身了
大神,把你的OD共享出来我们用用嘛 完全不知道这是干什么用的,只能膜拜 DLL直接灭了俺OD 删之前一直在蛋疼 逗B不会写全局钩子就不要乱写!没调试电脑就各种问题
{:301_1000:} 害的我xjun师傅的系统都不正常了LZ赔钱 {:301_1000:}害的我xjun师傅的系统都不正常了LZ赔钱