sharpod反反调试插件

sharpod反反调节插件插的二张图，一个是该插件在ollydbg的推荐配置设定，一个是在x64dbg里的，诸位可以参照看一下，终究在不一样的反汇编软件里，导进该插件，尽管在作用选择项上一致，可是是不是可以打开和兼容是否，或是必须考量的问题！

sharpod插件介绍

SharpOD x64 插件是一款只适用64位系统软件的(Win7,8,10) 反反调节插件，而且适用x32dbg和x64dbg

升级表明

1.提升 x64dbg Remove EP Break

2.提升 x64dbg Atti_Atti Attach

3.提升 ollydbg 任意三级菜单栏文章标题

4.健全下 VMP3.1(above)作用。

5.修补 x64dbg 以管理人员重启，对话框信息未复原，奔溃的BUG

6.修补 x64dbg 64位程序流程与火绒安全软件抢Hook点造成程序流程崩溃的BUG

7.修补 取explorer.exe 进程PID不上，父进程PID变为4的状况。

9.提升编码

sharpod如何使用

安裝

Ollydbg: 复制SharpOD x64.dll 到您的OD插件文件目录，而且复制StrongOD插件到OD插件文件目录(StrongOD在64位上适用于修补OD的BUG和十分实用的键盘快捷键)

随后重新启动调试器在插件菜单栏中配备

x64dbg: 复制相匹配版本号的插件到你的x64dbg插件文件目录,如64位,复制SharpOD x64.dp64文档,随后重新启动调试器在插件菜单栏中配备

看法先来谈一谈各插件作用

StrongOD：十分出色的一款插件，几乎极致，因在64位系统软件载入不了推动，只有在32位系统软件上充分发挥其杀伤力，清凉海风大神也没空升级，这真的是个不幸。

PhantOm: 插件精减高效率，但应用了SSDT Index硬编码来阻拦 wow64cpu!Wow64Transition(32位转64位方式的地区 jmp 0033:xxxxxxxxx)造成兼容模式也不是那麼的好。

并且解决的東西也很少，Wow64进程的peb64都没有解决，故造成许多的反调节走不过去。

scyllaHide: x64dbg创作者开发设计的一款十分出色掩藏插件，跟上面一样也是Hook wow64cpu!Wow64Transition(32位转64位方式的地区 jmp 0033:xxxxxxxxx),并且解决了十分多的地区。

我看完了scyllaHide的源码，页面繁杂，发觉创作者有点儿赖 - -！，许多地区解决不足细致，而且硬件配置中断点维护创作者嫌64位不便也是不写，而且Hook部位不足深,他人随意读取个64位API就探测到了。

titanHide: 在64位系统软件上SSDT Hook，最先客户就需要来过一遍PG了，并且解决的地方也很少。

以上插件都各有其优点和缺点，便是找不着一个极致点的，且如今很多的64位系统软件，在64位系统软件上未能寻找一款随手插件造成被许多APPanti到,故撰写了SharpOD x64插件。。

SharpOD x64关键完成是向wow64进程 ，引入纯64位code，而且hook ntdll64 api来完成的，那样做要比Hook wow64cpu!Wow64Transition要最底层的多。

作用表明

-Hide PEB (轻载程序流程生效)

1

掩藏PEB，解决掉下列特点

peb.BeingDebugged wow64.peb64.BeingDebugged

peb.NtGlobalFlag wow64.peb64.NtGlobalFlag

peb.processHeap.HeapFlags wow64.peb64.processHeap.HeapFlags

peb.processHeap.ForceFlags wow64.peb64.processHeap.ForceFlags

- Change Caption (重新启动调试器生效)

1

2

开始怀疑人生的作用，恕我直言，一切带特点的反调节全是不安全的。

而这一特点便是在更改调试器 对话框文章标题、菜单名称 来避免中小学生的枚举类型对话框及其菜单栏检验。

- Hide Process (轻载程序流程生效)

1

掩藏进程作用，只对于已经调节的进程，在NtQuerySystemInformation断线

- Fake ParentProcess (轻载程序流程生效)

1

改动父进程标志符，调节的进程 父进程会变为explorer.exe的，假如取不上explorer.exe 的pid，则会把父进程变为4.

- Drag Attach (重新启动调试器生效)

1

觉得这个是最給力的升级了，只需拖拽调试器左上方的标志 到总体目标对话框上，就可以额外进程。

-Hook *ZwFunctions (轻载程序流程生效)

1

2

Hook Zw系列产品函数公式

这一解决的東西太多了，下列Nt函数公式

NtQuerySystemInformation

SystemKernelDebuggerInformation

SystemProcessInformation

SystemHandleInformation

NtClose

invalid Handle

NtQueryInformationProcess

ProcessBasicInformation

ProcessDebugPort

ProcessDebugObjectHandle

ProcessDebugFlags

NtSetInformationThread

ThreadHideFromDebugger

NtDuplicateObject

NtQueryObject

ObjectTypesInformation - DebugObject

NtYieldExecution

return STATUS_NO_YIELD_PERFORMED

- Remove DebugProvileges (轻载程序流程生效)

1

2

清除调节进程的调节管理权限

由于默认设置状况下进程沒有SeDebugPrivilege管理权限，调节的时候会从调试器承继这一管理权限,以免不了有些人运用这一点。默认设置不建议打开

- VMP 3.1(above) (轻载程序流程生效)

1

2

3

过VMP3.1以上型号的反调节

VMProtect 3.1版本号逐渐有很大的升级，从这一版本号逐渐，立即仿真模拟Wow64 读取syscall进到核心，32位的体系也是同时读取权利命令systnter进到核心，查看检验ProcessDebugObjectHandle，因此在网络层几乎没有办法阻拦他。

我这里应用了一个小trick避过了他的检验。

- Protect Drx (轻载程序流程生效)

1

维护硬件配置中断点

ZwSetcontextThread

ZwGetContextThread

KiUserExceptionDispatcher - if Wow64PrepareForException

RtlDispatchException

RtlRestoreContext

-Driver Hook SSDT (重新启动调试器生效)

1

应用此作用，全部客户电脑上都得来过PatchGuard，十分不便，等必需的情况下在再加上去。

-Driver Hook ShadowSSDT (重新启动调试器生效)

1

-Driver Dbg ValidaccessMask (重新启动调试器生效)

1

2

此作用针对这些 效仿TP反调节 来消除你的DebugObject-ValidAccessMask ,谁让你的这么大的利益来全局性消除我设备的调节目标?

状况就是你的调试器没法拖进一切程序流程。

-Driver bypass ObjectHook (重新启动调试器生效)

1

2

避过 object hook，这一维护在 64位系统软件上放的较多，他可以筛选掉你开启进程的管理权限。

例如使你没法对总体目标进程运行内存读写能力等。打开这一作用就可以避过这一维护。但仿佛win10系统软件下能开启PG