SkyOD驅動反反調試插件,一個驅動級的反調試插件程序,專注CPU,偽裝,調試,生成操作,可以根據需求進行進程管理操作。本次帶來SkyOD反反調試插件程序工具,DLL文件,安裝方便,菜單全部為中文,需要進行相關配置反調試操作的朋友們可以下載使用。
插件功能
隱藏PEB(R3)
peb.BeingDebugged & peb64.BeingDebugged
peb.NtGlobalFlag & peb64.NtGlobalFlag
peb.processHeap.HeapFlags & peb64.processHeap.HeapFlags
peb.processHeap.ForceFlags & peb64.processHeap.ForceFlags
隱藏進程
現象:隱藏調試器進程,在任務管理器里面枚舉不到進程
場合:枚舉進程,然后對這個進程進行一大堆檢測
注釋:隱藏進程和偽裝進程二者開一即可
保護進程
現象:保護調試器進程,允許OB權限過濾,
場合:通過查詢調試器特征信息來反調試就可以使用這個功能 (比如搜索調試器特征碼、線程調試句柄等等)
偽裝調試器
現象:偽裝調試器進程的(路徑、名稱、父進程ID)偽裝成explorer進程
場合:通過枚舉進程當前目錄下的文件來檢測是否有調試器運行
注釋:隱藏進程和偽裝進程二者開一即可
偽裝父進程
現象:被調試進程的父進程ID,改為explorer.exe,如果沒有此進程則改成4(內核進程)
場合:通過判斷自身進程的父進程ID是否為explorer.exe,是否是其他進程創建的來反調試
隱藏句柄表
注釋:防止通過枚舉句柄查詢或者其他操作進行反調試
保護調試寄存器
NtQueryInformationThread
ThreadWow64Context(獲取Wow64線程環境)
NtSetInformationThread
ThreadWow64Context(設置Wow64線程環境)
NtGetContextThread(獲取64線程環境)
NtSetContextThread(設置64線程環境)
現象:只要是非調試器進程向被調試的進程發起修改獲取調試寄存器的操作一律被偽裝(偷天換日)
場合:當下不了硬件斷點,硬件斷點莫名其妙被清除的時候就可以使用
反反調試
NtSetInformationThread
ThreadHideFromDebugger(隱藏調試端口,脫離調試器)
NtClose
檢測是否錯誤句柄,防止關閉錯誤句柄觸發異常
檢測是否保護句柄,防止關閉保護句柄觸發異常
NtDuplicateObject
防止拷貝句柄時觸發保護句柄異常
NtSystemDebugControl
除了SysDbgGetTriageDump(查詢內核調試器)
NtQueryInformationProcess
ProcessDebugFlags(調試標志)
ProcessDebugPort(調試端口)
ProcessDebugObjectHandle(調試對象)
NtQuerySystemInformation
SystemKernelDebuggerInformation(是否開啟內核調試)
NtQueryObject
ObjectTypeInformation(指定對象-DebugObject)
ObjectTypesInformation(所有對象-DebugObject)
注釋:反反調試是針對于系統全局,除了調試器,其他進程沒有辦法獲取被調試進程的真實狀態
使用說明
顯示驅動回顯
注釋:顯示驅動攔截動作信息
過數字簽名校驗
場合:插件驅動不帶簽名,請勾選此功能
注釋:無需數字簽名即可加載驅動程序,會被PG檢測
過虛擬機檢測
注釋:緩解一些檢測虛擬機方法
過PatchGuard
場合:開啟隱藏進程、反反調試等一些功能
注釋:過系統PatchGuard校驗,非百分百,藍屏也是正常的0.0
A:插件沒有辦法正確加載怎么辦?
B:插件使用了DX界面,請在網上下載修復工具修復DX組件
A:插件里面的字體顯示有問題怎么辦?
B:請安裝“微軟雅黑”字體文件,msyh.ttc
A:程序檢測虛擬機怎么辦
B:務必把虛擬機自帶的VmTool工具關閉,可以通過配置虛擬機vmx文件實現