《浅谈 Olly Advanced v1.27 与 StrongOD v0.2.5.390 插件的冲突》.docxVIP

【原创】浅谈 Olly Advanced v1.27 与 StrongOD v90 插件的冲突  标 题: 【原创】浅谈 Olly Advanced v1.27 与 StrongOD v90 插件的冲突作 者: RegKiller时 间: 2009-08-15,02:01:03链 接: /showthread.php?t=95793Olly Advanced 与 StrongOD 都是 OD 不错的反调试及 BUGFIX 插件。不过这两个插件之前的版本就有冲突问题。这里我并未做过详细分析，只是个初步分析，所以如有错误之处敬请各位大牛赐教。关于冲突问题先不谈到底是哪个插件的责任问题。看下 plugin 这个单词的中文翻译就知道其直意，就象一个插排你非要无限制的往上插 N 个插头最后可能就会导致电路过载了，停电是小事，烧了电器那就。。。。好了，回到刚才话题，之前发现这两款插件有以下几个冲突（可能还存在我暂时未发现的，如果大家知道请跟贴讨论），以下解决方法前提是这两款插件同时放进了 OD 的插件目录并一起加载时：1 Ctrl +G 功能冲突： 如果两个插件同时开这个功能 OD 就挂。解决方法。把 Olly Advanced 里的这个功能关掉即可，因为 StrongOD 里默认就有这个功能，只是没给出选项自由设置，默认就打开的。如果你要修改 StrongOD 里的这个功能并使之关掉而保留 Olly Advanced 里的 Ctrl + G 功能，那么你可能需要给 StrongOD 先脱壳了，各大论坛上公开的版本应该是 NP 壳的 StrongOD v88 ，我是在 390 版下测试的，所以 388 的我没看，不过猜测应该是一样的。2 Anti-RDTSC (Driver-based) 的选项好像也有冲突，我记得有，而且是以前做的测试，很久没改过 OD 的插件设置了，所以记不太清了，如果你发现 OD 在同时加载了这两个插件后有问题，可以试着把 Olly Advanced 里的 Anti-RDTSC 这个功能关掉。3 这个也是 Olly Advanced v1.27 最近刚出来刚刚发现的一个冲突。这个我具体说说吧,希望新手能看懂：Olly Advanced v1.27 与 StrongOD v90 无论单独加载还是一起加载都会对 OD 本身的代码做很多动态修改当两个插件以不同的方式不同的代码去同时去修改 OD 同一处地址的代码时可能会导致 OD 挂掉。Olly Advanced v1.27 最近刚刚出来。试用了一下，暂时只发现了下面这处代码会被这两个插件同时修改。导致 OD 挂掉的代码地址：004AA2E0 ，情况是当 OD 同时加载两个插件后并载入可执行文件后准备分析代码前 OD 一闪后便自动退出了。通过硬件写入断点或内存写入断点分析得到如下代码处 代码: 1 原始代码 OD 没加载任何插件时的代码 004AA2E0 /$ 8B4424 04 MOV EAX,DWORD PTR SS:[ESP+4] 004AA2E4 |? 8B5424 08 MOV EDX,DWORD PTR SS:[ESP+8] 004AA2E8 |? 66:817A 08 3ECMP WORD PTR DS:[EDX+8],403E 004AA2EE |? 74 06 JE SHORT 004AA2F6 004AA2F0 |? DB2A FLD TBYTE PTR DS:[EDX] 004AA2F2 |. DF38 FISTP QWORD PTR DS:[EAX] 004AA2F4 |? 9B WAIT 004AA2F5 |? C3 RETN 004AA2F6 |? 8B0A MOV ECX,DWORD PTR DS:[EDX] 004AA2F8 |. 8908 MOV DWORD PTR DS:[EAX],ECX 004AA2FA |. 8B4A 04 MOV ECX,DWORD PTR DS:[EDX+4] 004AA2FD |. 8948 04 MOV DWORD PTR DS:[EAX+4],ECX 004AA300 \. C3 RETN 代码: 2 Olly Advanced v1.27 OD 单独加载这个插件后1 处的代码会被修改成如下代码 004AA2E0 /$ 8B4424 04 MOV EAX,DWORD PTR SS:[ESP+4