好友
阅读权限10
听众
最后登录1970-1-1
|
hwbcs
发表于 2009-6-22 06:11
OllyDbg v1.10 plugin - StrongOD v0.2.9
by 海风月影[CUG]
====================================================================
[2010.01.08 v0.2.9.561]
1,命令行增加Attach <pid>和Detach两个功能,pid是10进制的
2,去除alt + 1 ~ 9都是nop的功能
3,驱动隐藏窗口算法优化
4,增加兼容性,去掉关file句柄的功能
5,修复几个小BUG
[2009.11.26 v0.2.8.478]
1,关掉OD不需要的句柄(有些dll句柄被od锁定了)
2,优化cpu dump窗口功能
3,mem窗口数据保存(保存M2-M5)
4,增加dump窗口快捷键(CTRL+B搜索出来的dump窗口,可以用快捷键,快速切换到cpu dump窗口)
5,优化启动速度
[2009.10.28 v0.2.7.433]
1,win7,2003下修复anti_anti attach功能
2,win7下特权指令过滤
3,驱动通信加密
4,增加快捷键ctrl+d,将焦点设置到cmdbar上
5,修复几个小BUG
6,cmdbar界面小小改动
[2009.09.01 v0.2.6.415]
1,添加加载微软符号库的选项
2,Cmdbar增加命令MSG,显示消息号
[2009.08.24 v0.2.6.405]
1,全面支持win7(7600以下版本不支持)
2,增强解析PE的稳定性
3,修复tmd壳某些时候attach上去无法下断点的漏洞
[2009.06.16 v0.2.5.388]
1,增加ring0稳定性
2,尝试杀掉NP线程
[2009.06.13 v0.2.5.384]
1,修复驱动几个bug,去掉字符串
2,稳定性增加,不再需要key
[2009.04.24 v0.2.4.364]
1,驱动有很大改动,加了一些功能,与以前的StrongOD不兼容,更新后需要重启机器
2,启动时检查ollydbg中的可疑线程
3,继续修改attach功能
4,修复加壳后无法使用远程注入的功能
[2009.04.03 v0.2.4.350]
1,修复驱动在某些2000下蓝屏的BUG
2,修复驱动的几个BUG
3,加key验证,需要StrongOD.key才能运行/Requires StrongOD.key to execute.
[2009.03.30 v0.2.4.347]
1,修复vista下attach异常的问题
2,增强attach的稳定性,Attach后需要F9,然后resume all thread
3,advenummod支持动态卷,网络映射盘
4,vista sp1下无法打开文件的bug
5,vista下父进程修改
[2009.03.17 v0.2.4.341]
1,退出OD去掉ZwOpenThread的hook
2,修复OD处理codebase会崩溃的BUG
3,驱动不会影响非OD调试程序的情况
[2009.03.09 v0.2.3.328]
1,增强进程保护(保护线程),省得老毛子麻烦
2,修复一个导入表分析的错误
3,修复处理重定位表的BUG
4,修复attach notepad.exe的BUG
5,修复处理导出表的bug
6,修复处理tls的BUG
[2009.02.14 v0.2.3.314]
1,修复了2003 sp1下蓝屏bug(感谢cxh852456)
2,增强快捷键兼容性,支持简单修改版的OD
[2009.02.10 v0.2.3.305]
1,修复几个小BUG
2,增强attach功能
3,修复某个BUG
[2009.02.04 v0.2.3.301]
1,底部快捷栏自动记录是否隐藏
2,底部状态栏显示Memory窗口状态
3,修复驱动不加载的bug
[2009.02.01 v0.2.3.299]
1,增加多个内存窗口的快速切换,快捷键 alt+1 ~ alt+5
2,增加切换堆栈窗口关联到ebp寄存器或者不关联任何寄存器,快捷键 alt+1 ~ alt+3
3,增加一个底部的快捷栏,上面有快速切换的按钮,Option里面可以取消创建这个快捷栏,
如果创建后可以用Alt+R来显示,隐藏快捷栏
4,底部的快捷栏是否创建,不影响上面快速切换的功能(没有按钮可以用快捷键来切换)
/////////////////////////////////////////////////////////////
将插件放到od的plugin目录下,运行原版od,然后关闭
找到ollydbg.ini中的[Plugin StrongOD]项
自己改一下
DriverName - 驱动文件名,设备对象名
DriverKey - 和驱动通信的key
HideWindow - 是否隐藏窗口,1为隐藏,0为不隐藏
HideProcess - 是否隐藏od进程,1为隐藏,0为不隐藏
ProtectProcess - 是否隐藏保护Od进程,1为保护,0为不保护
上面5个选项界面上没有,可以设置成自己喜欢的方式,如果不选KernalMode,那么上面5个选项无效
驱动和phant0m的驱动相比有如下的优点:
1,支持多个OD,可以支持最多100个OD,而phant0m只支持1个OD
2,CloseHandle关闭错误句柄的时候返回STATUS_INVALID_HANDLE,而不是STATUS_SUCCESS
3,xp以上使用NtQueryInformationProcess(hProcess,ProcessDebugObjectHandle,...)和NtQueryInformationProcess(hProcess,ProcessDebugFlags,...)进行反调试
4,OD进程中ntdll.dll的一些函数(如:NtOpenProcess)被inline hook的时候会蓝屏
|
免费评分
-
查看全部评分
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|
|
|
[复制链接]
