Need help with Mirage?
Click the “chat” button below for chat support from the developer who created it, or find similar developers for support.

About the developer

stonedreamforest
276 Stars 73 Forks 60 Commits 9 Opened issues

Description

kernel-mode Anti-Anti-Debug plugin. based on intel vt-x && ept technology

Services available

!
?

Need anything else?

Contributors list

# 113,560
Windows
ghidra
C
C++
60 commits

Mirage Mirage GitHub issues GitHub closed issues GitHub Releases GitHub All Releases HitCount

Mirage

驱动已签名,由于使用泄露签名,使用前请关闭杀毒软件。

说明

  1. 基于intel vtx && ept 技术
  2. 不与其它反反调试插件冲突

功能支持

  • [x] IsDebuggerPresent
  • [x] CheckRemoteDebuggerPresent
  • [x] Process Environment Block (BeingDebugged)
  • [x] Process Environment Block (NtGlobalFlag)
  • [x] ProcessHeap (Flags)
  • [x] ProcessHeap (ForceFlags)
  • [x] NtQueryInformationProcess (ProcessDebugPort)
  • [x] NtQueryInformationProcess (ProcessDebugFlags)
  • [x] NtQueryInformationProcess (ProcessDebugObject)
  • [x] NtSetInformationThread (HideThreadFromDebugger)
  • [x] NtQueryObject (ObjectTypeInformation)
  • [x] NtQueryObject (ObjectAllTypesInformation)
  • [x] CloseHanlde (NtClose) Invalide Handle
  • [x] SetHandleInformation (Protected Handle)
  • [x] Hardware Breakpoints (SEH / GetThreadContext)
  • [x] NtYieldExecution / SwitchToThread
  • [x] Process jobs
  • [x] Memory write watching > 仅聚焦内核模式能处理的检测功能 (如有遗漏或你有任何想法、建议请告诉我

测试程序:al-khaser

系统支持

  1. win7 x64 (
    6.1.7600
    )
  2. win10 19h1 x64 (
    10.0.18362.XXXX
    )

调试器支持

  1. 现支持x64dbg,而且会持续更新...
  2. 不会支持OD 支持OD?点击回复投票
  3. 计划支持~~已支持windbg~~、cutterghidra 。后俩者需要它们本身先支持调试功能

使用

  1. 使用
    PDBDownloader.exe
    下载
    ntoskrnl.exe
    pdb
    文件 (默认在下载在C盘

image


  1. 使用
    MVConfigBuild.exe ntoskrnl.pdb
    生成
    config.mv
    配置文件 并将之移动到c盘根目录
    C:\

管理员启动CMD:

MVConfigBuild.exe

C:\symbols\ntkrnlmp.pdb\hashxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx\ntkrnlmp.pdb
(你应该确保
MVConfigBuild.exe
msdia140.dll
在同一目录下

image

可用离线版:离线版config (每个人都可以上传相应版本配置到此仓库.

格式:[版本.mv] 比如 :10.0.18362.295.mv(可以使用cmd查看

image


  1. 文件放置

    • x64dbg: > 将
      MirageV.dp32
      MirageV.dp64
      移动到对应
      \plugins\
      目录下 image
    • 运行:菜单栏-插件-幻境-进入

    image

+ windbg:
> 将`MirageV.dll`移动到对应`\Debuggers\bit??\`目录下
![image](https://user-images.githubusercontent.com/16742566/70392479-7a81fd80-1a1b-11ea-86ed-6af8d0ab5379.png)

  1. 运行:windbg -a MirageV.dll
  2. 再次运行:!MirageVRun
  • 驱动: > 将Mirage.sys移动到C:\Windows\System32\drivers\目录下 image

  1. 使用
  • 附加 > 输入进程id - 点击
    附加进程
    - 点击
    开启

image

  • 启动调试 > 直接点击开启

image

演示

Bn2pqgw32f

当前版本

v20200224

点击查看:历史版本及最新版

更新日志

CHANGELOG

相关

最后

未来的某一天会公开代码...

We use cookies. If you continue to browse the site, you agree to the use of cookies. For more information on our use of cookies please see our Privacy Policy.