下載地址: http://www.unpack.cn/viewthread.php?tid=19149 [2007.11.15 v0.11]
去除了2個BUG:
1,啟動程序時,如果目錄有空格會有個出錯信息
2,CPU DUMP 窗口,如果選中一個內存塊的第一個字節,Infoline會顯示異常
增加:
如果斷點窗口沒有任何斷點,則不顯示菜單
[2007.11.14 v0.10]
增加創建進程模式
本插件提供了3種方式來啟動進程:
1,Normal
?? ??? 和原來的啟動方式相同,清掉了STARTUPINFO里面不干凈的數據
2,CreateAsUser
?? ??? 用一個User權限的用戶來啟動進程,使進程運行在User權限下,無法對Admin建立的進程進行操作
 
?? ??? 運行這個需要在本地安全策略-用戶權利指派里面將你的用戶加入2個權限:
?? ?? ?? ?? 1,替換進程級記號(SeAssignPrimaryTokenPrivilege)
?? ?? ?? ?? 2,以操作系統方式操作(SeTcbPrivilege)
?? ??? 如果是home版的windows,無法設置,那么可以試試使用SuperMode,重啟OD來提升權限,強烈不建議使用這個選項
3,CreateAsRestrict
?? ??? 第二個選項用User權限的用戶來啟動進程限制的地方比較多,所以,增加第三個功能,以一個限制級的Admin用戶來啟動程序
?? ??? 啟動的程序是以Admin的用戶,不過權限只剩下默認User用戶有的權限,一些危險權限全部刪除(包括SeDebugPrivilege, SeLoadDriverPrivilege等),這樣運行的程序不會對OD造成很大的傷害。建議用這個方式啟動程序。
注意:
1,新增加的這2個啟動方式,不一定能運行所有的程序(比如OllyDbg)!不過在調試木馬的時候會有不錯的效果。
2,和 Olly Advanced 插件沖突,加載了Olly Advanced 插件,此功能失效!
隱藏調試器功能
HidePEB,去掉PEB中的調試標記,并且從根本上解決了HeapMagic的問題(參考的Phant0m.dll)
此功能的選項選不選都自動隱藏
快捷鍵功能
1. 增加CPU ASM,CPU DUMP,CPU STACK窗口中增加Enter相關的一系列快捷鍵
CPU ASM窗口中
例如
1000481A?? |.?? A3 F48E0010 mov ??? dword ptr ds:[10008EF4], eax
選中這行時,按Enter, ?? 表示在 CPU DUMP窗口顯示10008EF4位置
?? ?? ?? 按Shift+Enter, 表示在 CPU ASM 窗口顯示10008EF4位置
?? ?? ?? 按Ctrl+Enter,?? 表示在CPU DUMP窗口顯示這行的地址1000481A位置
如果有2個立即數,比如
1000481A mov dword ptr ds:[10001000],40304C
這樣的語句,如果要切換另一個立即數,就加上Alt,進行切換
選中這行時,按Enter, ?? ?? ??? 表示在 CPU DUMP窗口顯示40304C位置
?? ?? ?? 按Shift+Enter, ??? 表示在 CPU ASM 窗口顯示40304C位置
?? ?? ?? 按Ctrl+Enter, ?? 表示在 CPU DUMP窗口顯示這行的地址1000481A位置
?? ?? ?? 按Alt+Enter, ?? 表示在 CPU DUMP窗口顯示10001000位置
?? ?? ?? 按Alt+Shift+Enter, 表示在 CPU ASM 窗口顯示10001000位置
CPU DUMP窗口中
按Enter,表示在CPU ASM窗口顯示選中的第一個字節開始的數據內容
按Shift+Enter,表示在CPU DUMP窗口顯示選中的第一個字節開始的數據內容
按Ctrl+Enter,表示在CPU ASM窗口顯示選中的第一個字節的地址
CPU STACK窗口中
按Enter,表示在CPU ASM窗口顯示選中行的數據
按Shift+Enter,表示在CPU DUMP窗口顯示選中行的數據
按Ctrl+Enter,表示在CPU ASM窗口顯示選中行的地址
按Alt+Enter,表示在CPU DUMP窗口顯示選中行的地址
2. 增加CPU ASM , CPU DUMP , CPU STACK窗口快捷鍵ESC和`(注:ESC下面的),此按鍵功能同在CPU窗口按-(減號)+(加號)功能.(方便筆記本,因為筆記本沒有小鍵盤)
3. 增加CPU REG窗口快捷鍵ESC和`(注:ESC下面的)實現View FPU,View MMX,View 3D Now!,View Debug的快速翻頁.
4. 增加CPU STACK窗口快捷鍵ESC和`(注:ESC下面的),ESC表示在CPU STACK窗口顯示ESP值,`表示顯示EBP的值
5. 增加CPU REG窗口快捷鍵CTRL+數字鍵1至8(分別對應EAX,ECX,EDX,EBX,ESP,EBP,ESI,EDI)將其內容顯示在CPUASM窗口中
增加CPU REG窗口快捷鍵SHIFT+數字鍵1至8(分別對應EAX,ECX,EDX,EBX,ESP,EBP,ESI,EDI)將其內容顯示在CPUDUMP窗口中
?? ?? ?? ??
6. 增加CPU ASM,CPU DUMP窗口快捷鍵Shift+C,Shift+V,Shift+X,Ctrl+X.分別對應二進制復制,二進制粘貼,無空格二進制復制(方便寫OD腳本的兄弟),復制選中的第一個字節的地址
注:Shift+V 只需要選中起始地址即可.
Shift+C與Shift+X的區別如下:
55 8B EC 8B 45 0C 48 74 42 48 74 37 83 E8 0D 74
558BEC8B450C48744248743783E80D74
Ctrl+X功能是復制選中的第一個字節的地址,如選中的第一行是
1000481A mov dword ptr ds:[10001000],40304C
按Ctrl+X,則地址01000481A 復制到剪貼板
7. 增加在CPU ASM 和CPU DUMP窗口增加快捷鍵Insert ,Delete
?? ??? Insert 將選中的區域以0x90填充
?? ??? Delete 將選中的區域以0x00填充
先選中一塊區域,然后按鍵,填充完后可以用OD的恢復功能恢復(Alt + Backspace)
8. 增加狀態欄顯示CPU DUMP窗口中選中區域的起始地址,結束地址,選中區域大小,及當前值.
注:如CPU DUMP窗口數據為00401000?? 00 10 40 00 69 6E 67 20 鼠標選中地址00401000后面的00時,狀態欄窗口顯示Value為401000,按Ctrl+雙擊鼠標左鍵復制Value到剪切板.
9. 增加斷點窗口(ALT+B呼出)Delete All BreakPoints功能.實現刪除全部斷點.
10. 增加線程窗口Suspend All Threads,Resume All Threads功能.實現掛起和恢復全部線程.
特別感謝:fly,sucsor,sinister,shoooo,foxabu,hellsp@wn,okdodo,kanxue,a__p,微笑一刀
如果覺得哪些插件的某些功能比較好的,可以跟帖告訴我,我做進這個插件里面
如果和哪些插件有沖突的也希望能提供給我
建議使用英文原版OllyDbg
|