Mirage：内核模式的Anti-Anti-Debug插件。 基于intel vt-x && ept技术

      [](http://hits.dwyl.io/stonedreamforest/Mirage) # Mirage > 驱动已签名，由于使用泄露签名，使用前请关闭杀毒软件。 #### 说明 1. 基于intel vtx && ept 技术 2. 不与其它反反调试插件冲突 #### 功能支持 - [x] IsDebuggerPresent - [x] CheckRemoteDebuggerPresent - [x] Process Environment Block (BeingDebugged) - [x] Process Environment Block (NtGlobalFlag) - [x] ProcessHeap (Flags) - [x] ProcessHeap (ForceFlags) - [x] NtQueryInformationProcess (ProcessDebugPort) - [x] NtQueryInformationProcess (ProcessDebugFlags) - [x] NtQueryInformationProcess (ProcessDebugObject) - [x] NtSetInformationThread (HideThreadFromDebugger) - [x] NtQueryObject (ObjectTypeInformation) - [x] NtQueryObject (ObjectAllTypesInformation) - [x] CloseHanlde (NtClose) Invalide Handle - [x] SetHandleInformation (Protected Handle) - [x] Hardware Breakpoints (SEH / GetThreadContext) - [x] NtYieldExecution / SwitchToThread - [x] Process jobs - [x] Memory write watching > 仅聚焦内核模式能处理的检测功能 （如有遗漏或你有任何想法、建议请告诉我 测试程序：[al-khaser](https://github.com/LordNoteworthy/al-khaser) #### 系统支持 1. win7 x64 ( *`6.1.7600`*) 2. win10 19h1 x64 (*`10.0.18362.XXXX`*) #### 调试器支持 1. 现支持[x64dbg](https://github.com/x64dbg/x64dbg)，而且会持续更新... 2. 不会支持OD [支持OD？点击回复投票](https://github.com/stonedreamforest/Mirage/issues/4) 3. 计划支持~~已支持windbg~~、[cutter](https://github.com/radareorg/cutter)、[ghidra](https://github.com/NationalSecurityAgency/ghidra) 。后俩者需要它们本身先支持调试功能 #### 使用 0. 使用[`PDBDownloader.exe`](https://github.com/rajkumar-rangaraj/PDB-Downloader)下载`ntoskrnl.exe`的`pdb`文件 (默认在下载在C盘  ------------------------------------------ 1. 使用`MVConfigBuild.exe ntoskrnl.pdb`生成`config.mv`配置文件 并将之移动到c盘根目录`C:\` *管理员启动CMD*: > MVConfigBuild.exe `C:\symbols\ntkrnlmp.pdb\hashxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx\ntkrnlmp.pdb` (你应该确保`MVConfigBuild.exe` 和`msdia140.dll`在同一目录下  *可用离线版：[离线版config](https://github.com/stonedreamforest/Mirage/tree/master/config) （每个人都可以上传相应版本配置到此仓库.* *格式：[版本.mv] 比如 ：**10.0.18362.295.mv**（可以使用cmd查看*  ------------------------------------------ 2. 文件放置 + x64dbg： > 将`MirageV.dp32`、`MirageV.dp64`移动到对应`\plugins\`目录下  1. 运行：菜单栏-插件-幻境-进入  + windbg： > 将`MirageV.dll`移动到对应`\Debuggers\bit??\`目录下  1. 运行：`windbg -a MirageV.dll ` 2. 再次运行：`!MirageVRun` + 驱动： > 将`Mirage.sys`移动到`C:\Windows\System32\drivers\`目录下  ------------------------------------------ 3. 使用 - 附加 > 输入进程id - 点击`附加进程` - 点击`开启`  - 启动调试 > 直接点击开启  #### 演示  #### 当前版本 [v20200224](https://github.com/stonedreamforest/Mirage/releases/tag/v20200224) #### [点击查看：历史版本及最新版](https://github.com/stonedreamforest/Mirage/releases) #### 更新日志 [CHANGELOG](https://github.com/stonedreamforest/Mirage/blob/master/CHANGELOG.MD) #### 相关 - [Navy: 轻量级自动分析病毒程序调用上下文、游戏反调试实现技术...](https://github.com/stonedreamforest/Navy_public) ## 最后 未来的某一天会公开代码...