stonedreamforest / Mirage

kernel-mode Anti-Anti-Debug plugin. based on intel vt-x && ept technology

Geek Repo:Geek Repo

Github PK Tool:Github PK Tool

Mirage Mirage GitHub issues GitHub closed issues GitHub Releases GitHub All Releases HitCount

Mirage

驱动已签名,由于使用泄露签名,使用前请关闭杀毒软件。

说明

  1. 基于intel vtx && ept 技术
  2. 不与其它反反调试插件冲突

功能支持

  • IsDebuggerPresent
  • CheckRemoteDebuggerPresent
  • Process Environment Block (BeingDebugged)
  • Process Environment Block (NtGlobalFlag)
  • ProcessHeap (Flags)
  • ProcessHeap (ForceFlags)
  • NtQueryInformationProcess (ProcessDebugPort)
  • NtQueryInformationProcess (ProcessDebugFlags)
  • NtQueryInformationProcess (ProcessDebugObject)
  • NtSetInformationThread (HideThreadFromDebugger)
  • NtQueryObject (ObjectTypeInformation)
  • NtQueryObject (ObjectAllTypesInformation)
  • CloseHanlde (NtClose) Invalide Handle
  • SetHandleInformation (Protected Handle)
  • Hardware Breakpoints (SEH / GetThreadContext)
  • NtYieldExecution / SwitchToThread
  • Process jobs
  • Memory write watching

仅聚焦内核模式能处理的检测功能 (如有遗漏或你有任何想法、建议请告诉我

测试程序:al-khaser

系统支持

  1. win7 x64 ( 6.1.7600)
  2. win10 19h1 x64 (10.0.18362.XXXX)

调试器支持

  1. 现支持x64dbg,而且会持续更新...
  2. 不会支持OD 支持OD?点击回复投票
  3. 计划支持已支持windbgcutterghidra 。后俩者需要它们本身先支持调试功能

使用

  1. 使用PDBDownloader.exe下载ntoskrnl.exepdb文件 (默认在下载在C盘

image


  1. 使用MVConfigBuild.exe ntoskrnl.pdb生成config.mv配置文件 并将之移动到c盘根目录C:\

管理员启动CMD:

MVConfigBuild.exe C:\symbols\ntkrnlmp.pdb\hashxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx\ntkrnlmp.pdb (你应该确保MVConfigBuild.exemsdia140.dll在同一目录下

image

可用离线版:离线版config (每个人都可以上传相应版本配置到此仓库.

格式:[版本.mv] 比如 :10.0.18362.295.mv(可以使用cmd查看

image


  1. 文件放置

    • x64dbg:

    MirageV.dp32MirageV.dp64移动到对应\plugins\目录下 image

    1. 运行:菜单栏-插件-幻境-进入

    image

    • windbg:

    MirageV.dll移动到对应\Debuggers\bit??\目录下 image

    1. 运行:windbg -a MirageV.dll
    2. 再次运行:!MirageVRun
    • 驱动:

    Mirage.sys移动到C:\Windows\System32\drivers\目录下 image


  1. 使用
  • 附加

输入进程id - 点击附加进程 - 点击开启

image

  • 启动调试

直接点击开启

image

演示

Bn2pqgw32f

当前版本

v20200224

更新日志

CHANGELOG

相关

最后

未来的某一天会公开代码...

About

kernel-mode Anti-Anti-Debug plugin. based on intel vt-x && ept technology