最近才开始使用ScyllaHide插件,这篇文章准备从ScyllaHide的使用开始介绍。
ScyllaHide是一个高级的开源x64/x86用户模式Anti-Anti-Debug库。 它hook用户模式(ring3)中的各种函数以隐藏调试。 此工具旨在保留在用户模式(ring3)中。 如果您需要内核模式(ring0)Anti-Anti-Debug,请参阅TitanHide。
源码地址:
https://github.com/x64dbg/ScyllaHide
ScyllaHide支持带插件的各种调试器:
OllyDbg v1和v2
x64dbg
Hex-Rays IDA
TitanEnginev2-bitbucket 或TitanEnginev2-reversinglabs
一、在x64dbg安装插件ScyllaHide
从https://github.com/x64dbg/ScyllaHide/releases/tag/snapshot-2021-08-23_13-27-50
下载ScyllaHide.7z,解压后将x64dbg下x32、x64目录下文件分别拷贝到x32\plugins、x64\plugins目录下,这时启动x64dbg就能看到ScyllaHide插件了。
二、在IDA7.5安装、使用插件ScyllaHide
原项目只支持IDA6.8,后来经1n1t-ctx修改,可以支持IDA7.5。下载地址为
https://github.com/notify-bibi/ScyllaHide-IDA7.5/releases/tag/0.2
把IDA目录下的10个文件:scylla_hide.ini、HookLibraryx64.dll、HookLibraryx86.dll、ScyllaHideIDAPlugin.dll、ScyllaHideIDAPluginx64.dll、ScyllaHideIDAServerx86、ScyllaHideIDAServerx64、InjectorCLIx86、InjectorCLIx64、ScyllaHideIDAServerx64拷贝到IDA7.5\plugins目录。
点击菜单Edit - Plugins - ScyllaHide,使用该插件。
在loaded中选择需要的模式配置,在server port中配置端口,默认是1337。配置好后点击ok
找到plugins文件夹中的ScyllaHideIDAServerx86.exe双击运行
三、x64dbg使用ScyllaHide
与IDA类似,不过无需运行ScyllaHideIDAServerx86.exe或ScyllaHideIDAServerx64.exe。在loaded中选择需要的模式配置,不用配置server port。
