将插件放到od的plugin目录下,运行原版od,然后关闭
找到ollydbg.ini中的[Plugin StrongOD]项
自己改一下       
DriverName                        -                驱动文件名,设备对象名
DriverKey                                -                和驱动通信的key
HideWindow                        -   是否隐藏窗口,1为隐藏,0为不隐藏
HideProcess                        -                是否隐藏od进程,1为隐藏,0为不隐藏
ProtectProcess        -                是否隐藏保护Od进程,1为保护,0为不保护

上面5个选项界面上没有,可以设置成自己喜欢的方式,如果不选KernalMode,那么上面5个选项无效


驱动和phant0m的驱动相比有如下的优点:

1,支持多个OD,可以支持最多100个OD,而phant0m只支持1个OD
2,CloseHandle关闭错误句柄的时候返回STATUS_INVALID_HANDLE,而不是STATUS_SUCCESS
3,xp以上使用NtQueryInformationProcess(hProcess,ProcessDebugObjectHandle,...) 和NtQueryInformationProcess(hProcess,ProcessDebugFlags,...)进行反调试
4,OD进程中ntdll.dll的一些函数(如:NtOpenProcess)被inline hook的时候会蓝屏

 

下面没有特殊说明,都是用原版OD加上StrongOD插件一个插件进行操作

1.png

首先把Ollydbg.ini中[Plugin StrongOD]下面的HideWindow,ProtectProcess的值改成1,把KernelMode的值也改成1,保存

2.png

1,Themida/WinLicense

插件最少选项设置
themida.png

运行原版OD,载入Themida v1.9.9.0主程序,停在入口后去除所有断点,Shift+F9就跑起来了
3.png


2,ExeCryptor v2.4.1

插件最少选项设置
Execryptor.png

运行原版OD,设置断点停在系统断点上
4.png

载入ExeCryptor v2.4.1主程序,停在系统断点后,按Alt+B,删除EP断点
5.png

然后Shift+F9,即可
6.png


3,TTProtect v1.05 DEMO

插件最少选项设置


运行原版OD,加载TTProtect v1.05 DEMO主程序,Shift+F9
7.png

4,VMProtect v1.65.2

vmp v1.65 加了对xp系统下OD的新anti
插件最少选项设置


运行原版OD,加载VMProtect v1.65.2主程序,Shift+F9
8.png
 

posted on 2012-02-04 20:02  zeroengine  阅读(610)  评论(0编辑  收藏  举报