最简单的窗口程序 »

« 关于VB中的CallWindowProc函数

转自UPK！

OllyDBG v1.10 plugin  - StrongOD v0.2.7
                        by 海风月影[CUG]
====================================================================
[2009.10.28 v0.2.7.433]
1，win7，2003下修复anti_anti attach功能
2，win7下特权指令过滤
3，驱动通信加密
4，增加快捷键ctrl+d，将焦点设置到cmdbar上
5，修复几个小BUG
6，cmdbar界面小小改动


[2009.09.01 v0.2.6.415]
1，添加加载微软符号库的选项
2，Cmdbar增加命令MSG，显示消息号


[2009.08.24 v0.2.6.405]
1，全面支持win7(7600以下版本不支持)
2，增强解析PE的稳定性
3，修复tmd壳某些时候attach上去无法下断点的漏洞

[2009.06.16 v0.2.5.388]
1，增加ring0稳定性
2，尝试杀掉NP线程

[2009.06.13 v0.2.5.384]
1，修复驱动几个bug，去掉字符串
2，稳定性增加，不再需要key

[2009.04.24 v0.2.4.364]
1，驱动有很大改动，加了一些功能，与以前的StrongOD不兼容，更新后需要重启机器
2，启动时检查ollydbg中的可疑线程
3，继续修改attach功能
4，修复加壳后无法使用远程注入的功能

[2009.04.03 v0.2.4.350]
1，修复驱动在某些2000下蓝屏的BUG
2，修复驱动的几个BUG
3，加key验证，需要StrongOD.key才能运行/Requires StrongOD.key to execute.

[2009.03.30 v0.2.4.347]
1，修复vista下attach异常的问题
2，增强attach的稳定性，Attach后需要F9，然后resume all thread
3，advenummod支持动态卷，网络映射盘
4，vista sp1下无法打开文件的bug
5，vista下父进程修改

[2009.03.17 v0.2.4.341]
1，退出OD去掉ZwOpenThread的hook
2，修复OD处理codebase会崩溃的BUG
3，驱动不会影响非OD调试程序的情况

[2009.03.09 v0.2.3.328]
1，增强进程保护(保护线程)，省得老毛子麻烦
2，修复一个导入表分析的错误
3，修复处理重定位表的BUG
4，修复attach notepad.exe的BUG
5，修复处理导出表的bug
6，修复处理tls的BUG

[2009.02.14 v0.2.3.314]
1，修复了2003 sp1下蓝屏bug(感谢cxh852456)
2，增强快捷键兼容性，支持简单修改版的OD

[2009.02.10 v0.2.3.305]
1，修复几个小BUG
2，增强attach功能
3，修复某个BUG

[2009.02.04 v0.2.3.301]
1，底部快捷栏自动记录是否隐藏
2，底部状态栏显示Memory窗口状态
3，修复驱动不加载的bug

[2009.02.01 v0.2.3.299]
1，增加多个内存窗口的快速切换，快捷键 alt+1 ~ alt+5
2，增加切换堆栈窗口关联到ebp寄存器或者不关联任何寄存器，快捷键 alt+1 ~ alt+3
3，增加一个底部的快捷栏，上面有快速切换的按钮，Option里面可以取消创建这个快捷栏，
        如果创建后可以用Alt+R来显示，隐藏快捷栏
4，底部的快捷栏是否创建，不影响上面快速切换的功能（没有按钮可以用快捷键来切换）

/////////////////////////////////////////////////////////////


将插件放到od的plugin目录下，运行原版od，然后关闭
找到ollydbg.ini中的[Plugin StrongOD]项
自己改一下        
DriverName                        -                驱动文件名，设备对象名
DriverKey                                -                和驱动通信的key
HideWindow                        -   是否隐藏窗口，1为隐藏，0为不隐藏
HideProcess                        -                是否隐藏od进程，1为隐藏，0为不隐藏
ProtectProcess        -                是否隐藏保护Od进程，1为保护，0为不保护

上面5个选项界面上没有，可以设置成自己喜欢的方式，如果不选KernalMode，那么上面5个选项无效


驱动和phant0m的驱动相比有如下的优点：

1，支持多个OD，可以支持最多100个OD，而phant0m只支持1个OD
2，CloseHandle关闭错误句柄的时候返回STATUS_INVALID_HANDLE，而不是STATUS_SUCCESS
3，xp以上使用NtQueryInformationProcess(hProcess,ProcessDebugObjectHandle,...)和NtQueryInformationProcess(hProcess,ProcessDebugFlags,...)进行反调试
4，OD进程中ntdll.dll的一些函数(如：NtOpenProcess)被inline hook的时候会蓝屏

点我下载