-
-
[原创] [ScyllaHide] 00 简单介绍和使用
-
发表于: 2019-1-26 19:58
-
ScyllaHide是最近才半年开始用的,当时想写一个反调试的功能,经过一番搜索,发现这款开源神器,不敢独享,特将之分享出来,真的很好用。
这篇文章准备从ScyllaHide的使用开始介绍,之后通过一些反调试的例子,分析ScyllaHide源码,了解反调试和反反调试相关的功能。
84bK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6^5y4U0c8V1j5X3N6Q4x3V1k6e0j5%4W2D9L8r3q4t1K9h3c8W2i4K6u0r3j5X3I4G2j5W2)9J5c8Y4k6K6x3e0y4Q4x3V1k6o6L8$3&6X3K9h3N6o6L8$3I4D9k6h3y4@1K9h3!0F1i4K6u0r3f1$3y4&6L8r3I4S2d9r3W2V1k6g2)9J5k6i4m8V1k6R3`.`.
ScyllaHide是一个高级的开源x64/x86用户模式Anti-Anti-Debug库。 它hook用户模式(ring3)中的各种函数以隐藏调试。 此工具旨在保留在用户模式(ring3)中。 如果您需要内核模式(ring0)Anti-Anti-Debug,请参阅TitanHide。 ScyllaHide在用户模式中尽可能隐蔽,目标是不干扰任何其他功能。
ScyllaHide支持带插件的各种调试器:
• OllyDbg v1和v2
• x64dbg
• Hex-Rays IDA
• TitanEnginev2 或a27K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4u0W2N6X3g2J5M7$3W2F1k6$3I4S2j5Y4y4Q4x3X3g2U0L8$3#2Q4x3V1k6G2M7r3g2F1i4K6u0V1M7$3!0#2M7X3y4W2i4K6u0r3N6r3W2@1j5h3&6W2L8X3N6A6L8X3g2Q4x3X3g2Z5N6r3#2D9
PE x64调试 完全支持x64dbg和IDA的插件。
请注意:ScyllaHide不仅限于这些调试器。 您可以使用ScyllaHide的独立命令行版本 。 您可以在任何调试器调试的任何进程中注入ScyllaHide。
OD的简单使用
本节对ScyllaHide插件进行了简单介绍,使用OD可以检测大量反调试,对源码进行修改,更是可以定制反反调试,实乃逆向利器。
下次对源码进行分析,看下ScyllaHide是如何反反调试IsDebuggerPresent函数的,敬请期待。
本文章仅供用于技术研究用途,请勿利用文章内容操作用于违反法律的事情。
欢迎各位关注公众号和QQ群进行技术交流,关注有福利喔。
微信公众号:
qq群:IT技术控/953949723
| 准备项目 | 描述 | 备注 |
|---|---|---|
| 测试程序MyTestAntiDebuger.exe | github地址 | 每隔1秒打印IsDebuggerPresent函数值 |
| OD ver2 | 调试器 | |
| PDBReaderx86.exe | ScyllaHide生成NtApiCollection.ini工具 | 根据pdb生成的,所以不同机器结果不一样,请自己生成 |
| scylla_hide.ini | ScyllaHide配置文件 | |
| InjectorCLIx86.exe | ScyllaHide注入工具 | |
| HookLibraryx86.dll | 反反调试部分功能实现dll | |
| ScyllaHideOlly2Plugin.dll | OD插件 | - |
|
|
|---|---|
|
|
|
|
|
|
|
|
好像没讲到什么
|
|
|
|
|
|
有针对VMP的配置文件 
|
|
|
之前遇到几个加了VMP的,可以调试,不过没注意版本号,试过的可以留言说下。 
|
|
|
这个算是入门教程,之后可能会有复杂点的 |
|
|
谢谢,共同进步。 |
|
|
目前来说,效果还不错,还不行的,只能分析打补丁了 |
|
|
非常期待 
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
管理的QQ 3357427767 
|
kinghzking
