如何绕过反调试技术——PhantOM插件总结

最新推荐文章于 2023-06-21 12:28:00 发布
最新推荐文章于 2023-06-21 12:28:00 发布
阅读量2.4k 收藏 8
点赞数 1
分类专栏: 逆向分析基础
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43742894/article/details/105427462
版权

PhantOM是OllyDbg的一款插件,可以用来绕过大多数的反调试技术,功能十分强大,所以单独对这个插件进行使用总结。(Ps:现在似乎不怎么常用,在64位下的兼容性比较差,现在比较常用的是sharpOD,但因为在《恶意代码分析实战》接触PhantOM较多,所以先对之进行总结)

一、如何安装

OD的插件都比较简单,首先是找到插件的资源下载,将插件的dll放到OD目录下的plugin文件夹下即可。
在这里插入图片描述
安装完成后,就可以在OD菜单栏插件中找到该插件。
在这里插入图片描述

二、PhantOM功能介绍

这是插件的界面。我们要了解插件的功能,首先就要知道这些功能是对抗何种反调试的。
在这里插入图片描述
1.hide from PEB
可以用来解决反调试Windows API和反调试数据结构,因为他们反调试的基础都是PEB中的数据成员BeingDebugged属性、ProcessHeap属性、NTGlobalFlag。
索引勾选这个选项就可以绕过此类反调试技术。
2.protect DRx
这个选项我没用过,但是大体上应该是用来对抗通过硬件断点来进行反调试的技术,比较少见。
《恶意代码》中一笔带过:
在这里插入图片描述
3.fix ODString,FPU,Import
4.hook blockInput
5.hook GetTickCount
GetTickCount()返回最近系统时间与当前时间的相差毫秒数。hook就可以绕过时钟检测。
6.hook GetProcessTimes
7.remove EP break
8.custom handler exceptions
9.chance Olly Caption
10.patch NumberOfRvaAndSizes
11.load diver
12.hide OllyDbg windows
绕过窗口痕迹反调试,隐藏OD窗口信息。
13.hook NtSetContextThread
NtSetContextThread设置当前线程上下文信息,可能是通过设置寄存器信息等,防止下硬件断点。
14.hook RDTSC
对抗时钟反调试技术。

(以上很多功能我都没有用到过,网上关于这方面资料很少,以后学习过程中,我会慢慢补齐。)

同时也可以看出hook技术相当的重要啊。

王大碗Dw
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Node.js-Phantom—唯一零Hook稳定占坑类Android热更新插件化方案
08-12
Phantom 是满帮集团开源的一套稳定、灵活、兼容性好的 Android 插件化方案
过HS硬断也就是NtGetContextThread
04-15
过HS硬断也就是NtGetContextThread
Phantom float-crx插件
04-07
语言:English phantom float Ghost上下浮动。 动画效果非常酷
phantom.plugin.1.85(无积分下载哦)
11-10
OllyDbg 插件 phantom.plugin.1.85 需要1.54的我的上传中也有哦
Phantom Tests-crx插件
03-10
任何网页的基本测试。 运行基本测试并使用断言进行验证。 支持语言:English
硬件断点
mqzzqian的专栏
06-08 2570
本文转自梦织未来(www.mengwuji.net) 地址:http://www.mengwuji.net/forum.php?mod=viewthread&tid=1404 作者:mengwuji 检测硬件断点,是一件很有趣的事儿,至少这玩意儿可以让xx工具威力丧失一半儿。不过对于这方面的探讨是比较少的,主要在于一般检测硬件断点的方法,不外乎用NtGetContextT
漫谈兼容内核之十四:Windows的跨进程操作
周寅的专栏
03-13 2052
 Jeffrey Richter在他的“Advanced Windows”一书第18章“打破进程壁垒(Breaking Through Process Boundary Walls)”中讲述了一个有趣的实验,就是利用OpenProcess()、CreateRemoteThread()、VirtualAllocEx()、WriteProcessMemory()等等Win32 API函数从一个进程向另
逆向3.OD插件添加及 ODBG2_Pluginnotify配合PN_NEWPROC调试
weixin_30312563的博客
07-10 324
OD插件添加及 ODBG2_Pluginnotify配合PN_NEWPROC调试 #include <string.h> #include <windows.h> ​ #include <winternl.h> #pragma comment(lib,"ntdll.lib") ​ struct MYPROCESS_BASIC_INFOR...
Windows NT内核函数大全
qq_42577465的博客
06-06 1478
Nt内核函数大全 NtLoadDriver服务控制管理器加载设备驱动. NtUnloadDriver服务控制管理器支持卸载指定的驱动程序. NtRegisterNewDevice加载新驱动文件. NtQueryIntervalProfile返回数据. NtSetIntervalProfile指定采样间隔. NtStartProfile开始取样. NtStopProfile停止采样...
对滤波投影重建算法的研究以phantom图进行matlab仿真,构建滤波器,重建图像+程序操作视频
07-02
注意事项(仿真图预览可参考博主博客里面"同名文章内容"。): 使用matlab2022a或者高版本仿真,运行文件夹中的tops.m或者main.m。运行时注意matlab左侧的当前文件夹窗口必须是当前工程所在路径。 具体操作观看提供的程序操作视频跟着操作。 1.领域:matlab,滤波投影重建算法 2.内容:对滤波投影重建算法的研究以phantom图进行matlab仿真,构建滤波器,重建图像+程序操作视频 3.用处:用于滤波投影重建算法编程学习 4.指向人群:本硕博等学习教研使用,企事业简单项目方案验证参考
Phantomjs和Redis做高效数据爬取
最新发布
oGuJing123的博客
06-21 106
在当今互联网时代,数据是非常宝贵的资源,而如何高效地获取数据成为了每个数据分析师、数据挖掘工程师必须面对的问题。本文将分享我在使用Phantomjs爬虫和Redis技术实现高效数据获取的经验。一、什么是Phantomjs爬虫?
phantomjs入门学习笔记
孤云博客
01-19 840
随时随地阅读更多技术实战干货,获取项目源码、学习资料,请关注源代码社区公众号(ydmsq666)、博主微信(guyun297890152)、QQ技术交流群(183198395)。 from:https://my.oschina.net/rasine/blog/335997#OSC_h3_6 摘要: PhantomJS 是一个基于WebKit的服务器端 JavaScript API。它全面支...
PhantomJS简介
热门推荐
violetgo的博客
08-30 4万+
PhantomJS是一个可编程的无头浏览器.无头浏览器:一个完整的浏览器内核,包括js解析引擎,渲染引擎,请求处理等,但是不包括显示和用户交互页面的浏览器。可以使用Phantomejs做一些页面渲染的工作;如获取js的页面内容、截图等;
基于phantomJs的Java后台网页截图技术
ontology-fhcj的博客
02-14 1万+
OD plugin - PhantOm.dll
LLC
08-18 1295
http://bbs.pediy.com/showthread.php?t=99396
Nt内核函数大全
huang714的专栏
04-29 1377
Nt内核函数大全 NtLoadDriver 服务控制管理器加载设备驱动. NtUnloadDriver 服务控制管理器支持卸载指定的驱动程序. NtRegisterNewDevice 加载新驱动文件. NtQueryIntervalProfile 返回数据. NtSetIntervalProfile 指定采样间隔. NtStartProfile 开始取样. NtStopProfile 停止采样...
如何绕过调试技术——学习总结(4)
weixin_43742894的博客
04-09 1658
在之前的三篇文章,进行了绕过调试技术的相关实验,先对其进行总结。 如何绕过调试技术——学习回顾(1) 如何绕过调试技术——学习回顾(2) 如何绕过调试技术——学习回顾(3) 一、绕过数据结构的调试(实际上那些调试API也是通过这些成员识别调试) 例如BeingDubgged和NtGlobalFalg以及ProcessHeap的调试技术。 1.使用插件phantOM 插件功能强大,可...
大疆无人机 phantom4 rtk 地形测绘技术流程(基于大疆精灵4 rtk单镜头).pdf
05-12
大疆无人机Phantom 4 RTK是一款高精度、性能优异的测绘专业级无人机,其精度能够达到厘米级精度。在地形测绘方面,Phantom 4 RTK使用RTK技术(Real Time Kinematic)来实现高精度测绘,该技术可以消除室内外信号的干扰,实现无人机的快速、精确定位。 在地形测绘技术流程方面,Phantom 4 RTK使用大疆的精灵4 RTK单镜头,在数据采集和处理过程中,需要进行以下步骤: 步骤一:制定测绘计划。首先需要确定测区范围、点格距离、高度、倾角等相关参数,以便进行航路规划。 步骤二:进行无人机飞行。按照计划,使用Phantom 4 RTK进行无人机飞行,并在航线飞行轨迹上按照预定点进行测量。 步骤三:数据收集。在飞行过程中,Phantom 4 RTK会利用GPS进行快速定位,并将数据传输至所连接的设备上,将其存储下来。 步骤四:数据处理。将收集到的数据导入到地形测绘软件中,进行数据处理。这一步骤包括数据清理、配准、拼接等多个过程。其中相位重构技术在数据处理过程中尤为重要,它可以通过快速计算出飞行过程中无人机相对于参考基站的位置,来实现更加精准的测量。 步骤五:结果评估及图形输出。在数据处理完毕之后,需要进行结果评估及图形输出。这将会根据实际需要进行3D建模、等高线图制作、图像渲染等不同的数据分析及可视化展示。 综上所述,大疆无人机Phantom 4 RTK在地形测绘技术流程中使用到RTK技术,实现了高精度的定位、采集、处理等过程,支持数据的快速清理、配准、拼接等多个过程,可广泛应用于城市规划、林业、农业、水利、测绘等多个领域的地形测绘。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值