下載地址: http://www.unpack.cn/viewthread.php?tid=19149 [2007.11.15 v0.11]
去除了2個BUG:
1,啟動程序時,如果目錄有空格會有個出錯信息
2,CPU DUMP 窗口,如果選中一個內(nèi)存塊的第一個字節(jié),Infoline會顯示異常
增加:
如果斷點窗口沒有任何斷點,則不顯示菜單
[2007.11.14 v0.10]
增加創(chuàng)建進(jìn)程模式
本插件提供了3種方式來啟動進(jìn)程:
1,Normal
?? ??? 和原來的啟動方式相同,清掉了STARTUPINFO里面不干凈的數(shù)據(jù)
2,CreateAsUser
?? ??? 用一個User權(quán)限的用戶來啟動進(jìn)程,使進(jìn)程運行在User權(quán)限下,無法對Admin建立的進(jìn)程進(jìn)行操作
 
?? ??? 運行這個需要在本地安全策略-用戶權(quán)利指派里面將你的用戶加入2個權(quán)限:
?? ?? ?? ?? 1,替換進(jìn)程級記號(SeAssignPrimaryTokenPrivilege)
?? ?? ?? ?? 2,以操作系統(tǒng)方式操作(SeTcbPrivilege)
?? ??? 如果是home版的windows,無法設(shè)置,那么可以試試使用SuperMode,重啟OD來提升權(quán)限,強(qiáng)烈不建議使用這個選項
3,CreateAsRestrict
?? ??? 第二個選項用User權(quán)限的用戶來啟動進(jìn)程限制的地方比較多,所以,增加第三個功能,以一個限制級的Admin用戶來啟動程序
?? ??? 啟動的程序是以Admin的用戶,不過權(quán)限只剩下默認(rèn)User用戶有的權(quán)限,一些危險權(quán)限全部刪除(包括SeDebugPrivilege, SeLoadDriverPrivilege等),這樣運行的程序不會對OD造成很大的傷害。建議用這個方式啟動程序。
注意:
1,新增加的這2個啟動方式,不一定能運行所有的程序(比如OllyDbg)!不過在調(diào)試木馬的時候會有不錯的效果。
2,和 Olly Advanced 插件沖突,加載了Olly Advanced 插件,此功能失效!
隱藏調(diào)試器功能
HidePEB,去掉PEB中的調(diào)試標(biāo)記,并且從根本上解決了HeapMagic的問題(參考的Phant0m.dll)
此功能的選項選不選都自動隱藏
快捷鍵功能
1. 增加CPU ASM,CPU DUMP,CPU STACK窗口中增加Enter相關(guān)的一系列快捷鍵
CPU ASM窗口中
例如
1000481A?? |.?? A3 F48E0010 mov ??? dword ptr ds:[10008EF4], eax
選中這行時,按Enter, ?? 表示在 CPU DUMP窗口顯示10008EF4位置
?? ?? ?? 按Shift+Enter, 表示在 CPU ASM 窗口顯示10008EF4位置
?? ?? ?? 按Ctrl+Enter,?? 表示在CPU DUMP窗口顯示這行的地址1000481A位置
如果有2個立即數(shù),比如
1000481A mov dword ptr ds:[10001000],40304C
這樣的語句,如果要切換另一個立即數(shù),就加上Alt,進(jìn)行切換
選中這行時,按Enter, ?? ?? ??? 表示在 CPU DUMP窗口顯示40304C位置
?? ?? ?? 按Shift+Enter, ??? 表示在 CPU ASM 窗口顯示40304C位置
?? ?? ?? 按Ctrl+Enter, ?? 表示在 CPU DUMP窗口顯示這行的地址1000481A位置
?? ?? ?? 按Alt+Enter, ?? 表示在 CPU DUMP窗口顯示10001000位置
?? ?? ?? 按Alt+Shift+Enter, 表示在 CPU ASM 窗口顯示10001000位置
CPU DUMP窗口中
按Enter,表示在CPU ASM窗口顯示選中的第一個字節(jié)開始的數(shù)據(jù)內(nèi)容
按Shift+Enter,表示在CPU DUMP窗口顯示選中的第一個字節(jié)開始的數(shù)據(jù)內(nèi)容
按Ctrl+Enter,表示在CPU ASM窗口顯示選中的第一個字節(jié)的地址
CPU STACK窗口中
按Enter,表示在CPU ASM窗口顯示選中行的數(shù)據(jù)
按Shift+Enter,表示在CPU DUMP窗口顯示選中行的數(shù)據(jù)
按Ctrl+Enter,表示在CPU ASM窗口顯示選中行的地址
按Alt+Enter,表示在CPU DUMP窗口顯示選中行的地址
2. 增加CPU ASM , CPU DUMP , CPU STACK窗口快捷鍵ESC和`(注:ESC下面的),此按鍵功能同在CPU窗口按-(減號)+(加號)功能.(方便筆記本,因為筆記本沒有小鍵盤)
3. 增加CPU REG窗口快捷鍵ESC和`(注:ESC下面的)實現(xiàn)View FPU,View MMX,View 3D Now!,View Debug的快速翻頁.
4. 增加CPU STACK窗口快捷鍵ESC和`(注:ESC下面的),ESC表示在CPU STACK窗口顯示ESP值,`表示顯示EBP的值
5. 增加CPU REG窗口快捷鍵CTRL+數(shù)字鍵1至8(分別對應(yīng)EAX,ECX,EDX,EBX,ESP,EBP,ESI,EDI)將其內(nèi)容顯示在CPUASM窗口中
增加CPU REG窗口快捷鍵SHIFT+數(shù)字鍵1至8(分別對應(yīng)EAX,ECX,EDX,EBX,ESP,EBP,ESI,EDI)將其內(nèi)容顯示在CPUDUMP窗口中
?? ?? ?? ??
6. 增加CPU ASM,CPU DUMP窗口快捷鍵Shift+C,Shift+V,Shift+X,Ctrl+X.分別對應(yīng)二進(jìn)制復(fù)制,二進(jìn)制粘貼,無空格二進(jìn)制復(fù)制(方便寫OD腳本的兄弟),復(fù)制選中的第一個字節(jié)的地址
注:Shift+V 只需要選中起始地址即可.
Shift+C與Shift+X的區(qū)別如下:
55 8B EC 8B 45 0C 48 74 42 48 74 37 83 E8 0D 74
558BEC8B450C48744248743783E80D74
Ctrl+X功能是復(fù)制選中的第一個字節(jié)的地址,如選中的第一行是
1000481A mov dword ptr ds:[10001000],40304C
按Ctrl+X,則地址01000481A 復(fù)制到剪貼板
7. 增加在CPU ASM 和CPU DUMP窗口增加快捷鍵Insert ,Delete
?? ??? Insert 將選中的區(qū)域以0x90填充
?? ??? Delete 將選中的區(qū)域以0x00填充
先選中一塊區(qū)域,然后按鍵,填充完后可以用OD的恢復(fù)功能恢復(fù)(Alt + Backspace)
8. 增加狀態(tài)欄顯示CPU DUMP窗口中選中區(qū)域的起始地址,結(jié)束地址,選中區(qū)域大小,及當(dāng)前值.
注:如CPU DUMP窗口數(shù)據(jù)為00401000?? 00 10 40 00 69 6E 67 20 鼠標(biāo)選中地址00401000后面的00時,狀態(tài)欄窗口顯示Value為401000,按Ctrl+雙擊鼠標(biāo)左鍵復(fù)制Value到剪切板.
9. 增加斷點窗口(ALT+B呼出)Delete All BreakPoints功能.實現(xiàn)刪除全部斷點.
10. 增加線程窗口Suspend All Threads,Resume All Threads功能.實現(xiàn)掛起和恢復(fù)全部線程.
特別感謝:fly,sucsor,sinister,shoooo,foxabu,hellsp@wn,okdodo,kanxue,a__p,微笑一刀
如果覺得哪些插件的某些功能比較好的,可以跟帖告訴我,我做進(jìn)這個插件里面
如果和哪些插件有沖突的也希望能提供給我
建議使用英文原版OllyDbg
|