Skip to content
kernel-mode Anti-Anti-Debug plugin. based on intel vt-x && ept technology
Branch: master
Clone or download
Fetching latest commit…
Cannot retrieve the latest commit at this time.
Permalink
Type Name Latest commit message Commit time
Failed to load latest commit information.
config
CHANGELOG.MD
README.md

README.md

Mirage

驱动已签名,由于使用泄露签名,使用前请关闭杀毒软件。

说明

  1. 基于intel vtx && ept 技术
  2. 不与其它反反调试插件冲突

功能支持

  • IsDebuggerPresent
  • CheckRemoteDebuggerPresent
  • Process Environment Block (BeingDebugged)
  • Process Environment Block (NtGlobalFlag)
  • ProcessHeap (Flags)
  • ProcessHeap (ForceFlags)
  • NtQueryInformationProcess (ProcessDebugPort)
  • NtQueryInformationProcess (ProcessDebugFlags)
  • NtQueryInformationProcess (ProcessDebugObject)
  • NtSetInformationThread (HideThreadFromDebugger)
  • NtQueryObject (ObjectTypeInformation)
  • NtQueryObject (ObjectAllTypesInformation)
  • CloseHanlde (NtClose) Invalide Handle
  • SetHandleInformation (Protected Handle)
  • Hardware Breakpoints (SEH / GetThreadContext)
  • NtYieldExecution / SwitchToThread
  • Process jobs
  • Memory write watching

仅聚焦内核模式能处理的检测功能 (如有遗漏或你有任何想法、建议请告诉我

测试程序:al-khaser

系统支持

  1. win7 x64 ( 6.1.7600)
  2. win10 19h1 x64 (10.0.18362.XXXX)

注:请把你需要的系统告诉我:issues 或者给我发邮件... 如果你有我的微信也可以说... 友情通道...QAQ

我会在我的空闲时间支持它(拒绝支持x86内核以及xp、win8、win8.1😅

需要至少10个人在这里表示需要它我才会支持 不然是无意义的更新支持...

调试器支持

  1. 现支持x64dbg,而且会持续更新...
  2. 不会支持OD 支持OD?点击回复投票
  3. 计划支持windbg、cutterghidra 。后俩者需要它们本身先支持调试功能

技术支持(包括但不限于反反调试、驱动读写、驱动注入...

如果你要支持某一特定程序或系统, 请邮件联系我,我将成为你的私人技术支持... (很明显这将是付费的.

使用

  1. 使用PDBDownloader.exe下载ntoskrnl.exe文件 (默认在下载在C盘

image

  1. 使用MVConfigBuild.exe生成config.mv配置文件 并将之移动到c盘根目录C:\

管理员启动CMD:

MVConfigBuild.exe C:\symbols\ntkrnlmp.pdb\hashxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx\ntkrnlmp.pdb (你应该确保MVConfigBuild.exemsdia140.dll在同一目录下

image

可用离线版:离线版config (每个人都可以上传相应版本配置到此仓库.

格式:[版本.mv] 比如 :10.0.18362.295.mv(可以使用cmd查看

image

  1. MirageV.dp32MirageV.dp64移动到对应\plugins\目录下

image

Mirage.sys移动到C:\Windows\System32\drivers\目录下

image

  1. 菜单栏-插件-幻境-进入

image

  • 附加

输入进程id - 点击附加进程 - 点击开启

image

  • 启动调试

直接点击开启

image

演示

Bn2pqgw32f

当前版本

v20191117

点击查看:历史版本及最新版

更新日志

CHANGELOG

最后

未来的某一天会公开代码...

You can’t perform that action at this time.