使用ScyllaHide隐藏调试器

上次研究了对UPX的简易脱壳,但是往往我们要脱的壳并不是那么简单——有调试器检测的。如SecuRom

 

下面的教程针对x64dbg这一调试器

步骤

下载已编译的ScyllaHide

https://github.com/x64dbg/ScyllaHide/releases/download/snapshot/ScyllaHide_2017-06-28_14-03.7z

解压后运行

(ScyllaHide)/NtApiTool/x86/PDBReaderx86.exe

(ScyllaHide)/NtApiTool/x64/PDBReaderx64.exe

复制文件

(ScyllaHide)/scylla_hide.ini

(ScyllaHide)/HookLibraryx86.dll

(ScyllaHide)/NtApiTool/x86/NtApiCollection.ini

(ScyllaHide)/plugins/ScyllaHideX64DBGPlugin.dp32

(x64dbg)/x32/plugins/

64位同理。

再进行调试,「必须的安全模块未被激活。程序不能被执行(2000)。」就不会再提示了。

可能(我)遇到的问题

提示错误

这是由于你安装了反调试插件XDbg,将其删除就正常了

没有效果

插件->ScyllaHide->Options 你选的是什么呢?

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据