好友
阅读权限255
听众
最后登录1970-1-1
|
Hmily
发表于 2008-9-18 23:02
from:Unpack.cn作者:海风月影
OllyDbg v1.10 plugin- StrongOD v0.18
by 海风月影[CUG]
====================================================================
[2008.09.18 v0.18]
1,修复了Ctrl+G计算rva,offset时的一个小BUG
2,当程序不是运行的状态时,Detach前会先运行程序
3,修复原版OD的数据区复制BUG
4,修复od运行后CPU占用率很高的BUG
5,可以设置是否跳过一些异常处理
[2008.09.02 v0.17]
1,跳过一些OD处理不当的异常
2,正确处理int 2d指令
[2008.08.31 v0.16]
1,加入驱动,保护进程,隐藏窗口,过绝大部分反调试
2,驱动支持自定义设备名(ollydbg.ini中的DeviceName,设备名不超过8个字符)
ollydbg.ini中的[StrongOD]中,可以自己设定
HideWindow=1 隐藏窗口
HideProcess=1隐藏进程
ProtectProcess=1保护进程
DriverKey=-82693034和驱动通信的key
DriverName=fengyue0驱动设备名(不超过8个字符)
3,将OD创建进程的父进程改成explorer.exe (抄自shoooo的代码)
/////////////////////////////////////////////////////////////
这个版本增加了驱动,如果蓝屏了,请将minidump传到论坛上来,谢谢
尽量用OllyDbg原版,一般情况不需要和其他的anti-anti plugin插件一起用(包括phant0m)
将插件放到od的plugin目录下,运行原版od,然后关闭
找到ollydbg.ini中的[Plugin StrongOD]项
自己改一下
DriverName-驱动文件名,设备对象名
DriverKey-和驱动通信的key
HideWindow- 是否隐藏窗口,1为隐藏,0为不隐藏
HideProcess-是否隐藏od进程,1为隐藏,0为不隐藏
ProtectProcess-是否隐藏保护Od进程,1为保护,0为不保护
上面5个选项界面上没有,可以设置成自己喜欢的方式,如果不选KernalMode,那么上面5个选项无效
驱动和phant0m的驱动相比有如下的优点:
1,支持多个OD,可以支持最多100个OD,而phant0m只支持1个OD
2,CloseHandle关闭错误句柄的时候返回STATUS_INVALID_HANDLE,而不是STATUS_SUCCESS
3,xp以上使用NtQueryInformationProcess(hProcess,ProcessDebugObjectHandle,...)和NtQueryInformationProcess(hProcess,ProcessDebugFlags,...)进行反调试
4,OD进程中ntdll.dll的一些函数(如:NtOpenProcess)被inline hook的时候会蓝屏 |
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|
|
|
发表于 2008-9-18 23:03
发表于 2008-9-19 00:56
