PhantOM是OllyDbg的一款插件,可以用來繞過大多數的反調試技術,功能十分強大,所以單獨對這個插件進行使用總結。(Ps:現在似乎不怎麼常用,在64位下的兼容性比較差,現在比較常用的是sharpOD,但因爲在《惡意代碼分析實戰》接觸PhantOM較多,所以先對之進行總結)
一、如何安裝
OD的插件都比較簡單,首先是找到插件的資源下載,將插件的dll放到OD目錄下的plugin文件夾下即可。
安裝完成後,就可以在OD菜單欄插件中找到該插件。
二、PhantOM功能介紹
這是插件的界面。我們要了解插件的功能,首先就要知道這些功能是對抗何種反調試的。
1.hide from PEB
可以用來解決反調試Windows API和反調試數據結構,因爲他們反調試的基礎都是PEB中的數據成員BeingDebugged屬性、ProcessHeap屬性、NTGlobalFlag。
索引勾選這個選項就可以繞過此類反調試技術。
2.protect DRx
這個選項我沒用過,但是大體上應該是用來對抗通過硬件斷點來進行反調試的技術,比較少見。
《惡意代碼》中一筆帶過:
3.fix ODString,FPU,Import
4.hook blockInput
5.hook GetTickCount
GetTickCount()返回最近系統時間與當前時間的相差毫秒數。hook就可以繞過時鐘檢測。
6.hook GetProcessTimes
7.remove EP break
8.custom handler exceptions
9.chance Olly Caption
10.patch NumberOfRvaAndSizes
11.load diver
12.hide OllyDbg windows
繞過窗口痕跡反調試,隱藏OD窗口信息。
13.hook NtSetContextThread
NtSetContextThread設置當前線程上下文信息,可能是通過設置寄存器信息等,防止下硬件斷點。
14.hook RDTSC
對抗時鐘反調試技術。
(以上很多功能我都沒有用到過,網上關於這方面資料很少,以後學習過程中,我會慢慢補齊。)
同時也可以看出hook技術相當的重要啊。