【更新】恶意代码拦截插件V1.1【防止关机,格盘】还能快速查找暗桩?
恶意代码拦截插件1.1之前的版本一直由我的朋友。OD-CALL发布,此次就由我本人发布了,这里感谢他的支持。还有他帮忙测试。
插件功能:
1.禁止恶意关机
2.禁止格式化磁盘
3.禁止删除文件
4.禁止创建进程
5.对创建文件保护
6.摘除定时器
7.提醒模式
此次插件代码几乎重写,增加用户勾选选项,可选择提醒模式还是默认模式。
更新说明:
1.增加创建文件保护
2.增加禁止删除文件
3.摘除定时器
4.修复格式化磁盘APIHOOK的函数,之前HOOK的函数不够底层。
5.增加摘除定时器,此模式会使所有此程序所有定时器失效
6.重写部分代码,增加设置界面,方便用户自定义。
7.去除禁用CMD,脚本执行等功能。(考虑到这些功能已经不属于插件范畴了,这个选项使用者可自行实现。)
8.添加附加注入,之前版本只支持载入进程拦截,本次支持载入,附加。
9.增加提醒模式。
10.获取关键代码调用处地址
11.修复调用约定
插件标题及设置界面
设置界面
拦截模式示意图
日志基本数据
考虑到很多格盘啊,修改用户密码什么的,所以拦截进程创建
暂时发现BUG,请不要右键->OD打开这样操作。这样的话无法进行拦截、
如果你觉得以上就是程序的功能的话那你就错了,下面由我们实战一下。
这个CM是OD-CALL 帮忙写的测试,再次感谢他。测试这个程序之前先把插件设置一下
设置完了。开始调试CM
断MessageBoxA 来到这里把JENOP注册成功
别高兴,到这里之后程序会校验的,检测到注册码不对就直接关机。,
下面开始清除这个暗装
注册成功后 会触发关机的,不过没关系,我们已经勾选了禁止关机
已经拦截下来了。下面开始去除暗装。我们在OD里跳到 448cde去看看
发现这里就是调用关机的代码。
好吧,向上走,来到
改为JMP。改完之后运行发现又弹出一个。
那我们就来到4013C1看看
来到这里
改成JMP跳。
再看程序
注册成功了,而且暗装没有触发。暗装去除成功。
其实还有一种更简单的办法,勾选设置里的《摘除定时器》。就直接干掉了。好了
使用办法:将SafeOD拷贝到插件目录(就是Plugin目录)
将HookMe拷贝OD目录(跟OD一个文件夹下)
PS:如果在XP上无法运行,请把运行库拷贝到系统目录。
再次感谢OD-CALL提供CM,和给出的建议及支持。么么哒!!
很多朋友提到OD上未显示插件,我试了吾爱汇编论坛工具包里的几款OD,均能正常加载使用。不论WIN7还是XP。请先运行"运行安装库.bat"。请不要在调试程序上->右键->OD打开。这样可能导致无法拦截
好厉害啊!!
小明 发表于 2015-3-29 17:37
好厉害啊!!
感谢支持,希望能给出好的建议!{:5_188:}
我按方法放进去后 没有这个功能啊。。。
冷月浮华丶 发表于 2015-3-29 17:52
我按方法放进去后 没有这个功能啊。。。
请问你开启了提醒模式吗?如果没开启就没有提示框,但是可以查看日志。
https://www.52hb.com/data/attachment/forum/201503/29/173503butmielomrmlrl8r.png我没有这个
啦啦啦啦 支持
冷月浮华丶 发表于 2015-3-29 18:02
我没有这个
你确定你把SafeOD.dll放在了Plugin目录吗?两个DLL不在同一个目录下。SafeOD.dll放在Plugin目录,HookMe.dll放在OD目录下。
call-od 发表于 2015-3-29 18:04
啦啦啦啦 支持
为毛你不给我送分?{:6_197:}
{:7_236:}很强大的插件!!赞