好友
阅读权限40
听众
最后登录1970-1-1
|
zeger
发表于 2008-12-27 15:18
OllyDbg v1.10 plugin - StrongOD.v0.2.1.235.By.海风月影[CUG] [20081106]
OllyDBG v1.10 plugin - StrongOD v0.2.1
by 海风月影[CUG]
====================================================================
[2008.12.25 v0.2.1.235]
1,修复一个利用PAGE_GUARD的anti
2,修复Skip Some Expection选上的时候无法对内存段下F2断点
3,由于PAGE_GUARD的特殊性,无法完美处理od用PAGE_GUARD下断点的BUG,建议尽量不要对内存段下F2断点
4,加强进程保护功能,防止ring3下复制句柄打开od进程
5,修复驱动多处小bug
6,更新版本号
[2008.11.06 v0.20]
1,超长异常处理链导致OD打开太慢的BUG
[2008.11.03 v0.19]
1,增加一个快捷键,cpudump 窗口 alt+左键双击
2,修复隐藏OD窗口后输入法有可能无法使用的BUG
3,修复了一个潜在的蓝屏BUG
[2008.09.23 v0.18]
1,修复隐藏窗口后中文输入法不正常的BUG
[2008.09.18 v0.18]
1,修复了Ctrl+G计算rva,offset时的一个小BUG
2,当程序不是运行的状态时,Detach前会先运行程序
3,修复原版OD的数据区复制BUG
4,修复od运行后CPU占用率很高的BUG
5,可以设置是否跳过一些异常处理
[2008.09.02 v0.17]
1,跳过一些OD处理不当的异常
2,正确处理int 2d指令
[2008.08.31 v0.16]
1,加入驱动,保护进程,隐藏窗口,过绝大部分反调试
2,驱动支持自定义设备名(ollydbg.ini中的DeviceName,设备名不超过8个字符)
ollydbg.ini中的[StrongOD]中,可以自己设定
HideWindow=1 隐藏窗口
HideProcess=1 隐藏进程
ProtectProcess=1 保护进程
DriverKey=-82693034 和驱动通信的key
DriverName=fengyue0 驱动设备名(不超过8个字符)
3,将OD创建进程的父进程改成explorer.exe (抄自shoooo的代码)
/////////////////////////////////////////////////////////////
这个版本增加了驱动,如果蓝屏了,请将minidump传到论坛上来,谢谢
尽量用OllyDbg原版,一般情况不需要和其他的anti-anti plugin插件一起用(包括phant0m)
将插件放到od的plugin目录下,运行原版od,然后关闭
找到ollydbg.ini中的[Plugin StrongOD]项
自己改一下
DriverName - 驱动文件名,设备对象名
DriverKey - 和驱动通信的key
HideWindow - 是否隐藏窗口,1为隐藏,0为不隐藏
HideProcess - 是否隐藏od进程,1为隐藏,0为不隐藏
ProtectProcess - 是否隐藏保护Od进程,1为保护,0为不保护
上面5个选项界面上没有,可以设置成自己喜欢的方式,如果不选KernalMode,那么上面5个选项无效
驱动和phant0m的驱动相比有如下的优点:
1,支持多个OD,可以支持最多100个OD,而phant0m只支持1个OD
2,CloseHandle关闭错误句柄的时候返回STATUS_INVALID_HANDLE,而不是STATUS_SUCCESS
3,xp以上使用NtQueryInformationProcess(hProcess,ProcessDebugObjectHandle,...)和NtQueryInformationProcess(hProcess,ProcessDebugFlags,...)进行反调试
4,OD进程中ntdll.dll的一些函数(如:NtOpenProcess)被inline hook的时候会蓝屏
http://www.unpack.cn/viewthread.php?tid=28854&extra=page%3D1
[ 本帖最后由 zeger 于 2008-12-27 15:36 编辑 ] |
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|