Mirage
Mirage copied to clipboard
stonedreamforest
kernel-mode Anti-Anti-Debug plugin. based on intel vt-x && ept technology
Mirage
驱动已签名,由于使用泄露签名,使用前请关闭杀毒软件。
说明
- 基于intel vtx && ept 技术
- 不与其它反反调试插件冲突
功能支持
- [x] IsDebuggerPresent
- [x] CheckRemoteDebuggerPresent
- [x] Process Environment Block (BeingDebugged)
- [x] Process Environment Block (NtGlobalFlag)
- [x] ProcessHeap (Flags)
- [x] ProcessHeap (ForceFlags)
- [x] NtQueryInformationProcess (ProcessDebugPort)
- [x] NtQueryInformationProcess (ProcessDebugFlags)
- [x] NtQueryInformationProcess (ProcessDebugObject)
- [x] NtSetInformationThread (HideThreadFromDebugger)
- [x] NtQueryObject (ObjectTypeInformation)
- [x] NtQueryObject (ObjectAllTypesInformation)
- [x] CloseHanlde (NtClose) Invalide Handle
- [x] SetHandleInformation (Protected Handle)
- [x] Hardware Breakpoints (SEH / GetThreadContext)
- [x] NtYieldExecution / SwitchToThread
- [x] Process jobs
- [x] Memory write watching
仅聚焦内核模式能处理的检测功能 (如有遗漏或你有任何想法、建议请告诉我
测试程序:al-khaser
系统支持
- win7 x64 (
6.1.7600) - win10 19h1 x64 (
10.0.18362.XXXX)
调试器支持
- 现支持x64dbg,而且会持续更新...
- 不会支持OD 支持OD?点击回复投票
- 计划支持~~已支持windbg~~、cutter、ghidra 。后俩者需要它们本身先支持调试功能
使用
- 使用
PDBDownloader.exe下载ntoskrnl.exe的pdb文件 (默认在下载在C盘
- 使用
MVConfigBuild.exe ntoskrnl.pdb生成config.mv配置文件 并将之移动到c盘根目录C:\
管理员启动CMD:
MVConfigBuild.exe
C:\symbols\ntkrnlmp.pdb\hashxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx\ntkrnlmp.pdb(你应该确保MVConfigBuild.exe和msdia140.dll在同一目录下
可用离线版:离线版config (每个人都可以上传相应版本配置到此仓库.
格式:[版本.mv] 比如 :10.0.18362.295.mv(可以使用cmd查看
-
文件放置
- x64dbg:
将
MirageV.dp32、MirageV.dp64移动到对应\plugins\目录下
- 运行:菜单栏-插件-幻境-进入
- windbg:
将
MirageV.dll移动到对应\Debuggers\bit??\目录下
- 运行:
windbg -a MirageV.dll - 再次运行:
!MirageVRun
- 驱动:
将
Mirage.sys移动到C:\Windows\System32\drivers\目录下
- 使用
- 附加
输入进程id - 点击
附加进程- 点击开启
- 启动调试
直接点击开启
演示
当前版本
点击查看:历史版本及最新版
更新日志
相关
最后
未来的某一天会公开代码...
Metadata
411
Stars
105
Forks
Watchers
Owner
stonedreamforest
Metadata
kernel-mode Anti-Anti-Debug plugin. based on intel vt-x && ept technology