如何绕过反调试技术——PhantOM插件总结

PhantOM是OllyDbg的一款插件，可以用来绕过大多数的反调试技术，功能十分强大，所以单独对这个插件进行使用总结。(Ps：现在似乎不怎么常用，在64位下的兼容性比较差，现在比较常用的是sharpOD,但因为在《恶意代码分析实战》接触PhantOM较多，所以先对之进行总结)

一、如何安装

OD的插件都比较简单，首先是找到插件的资源下载，将插件的dll放到OD目录下的plugin文件夹下即可。

安装完成后，就可以在OD菜单栏插件中找到该插件。

二、PhantOM功能介绍

这是插件的界面。我们要了解插件的功能，首先就要知道这些功能是对抗何种反调试的。

1.hide from PEB
可以用来解决反调试Windows API和反调试数据结构，因为他们反调试的基础都是PEB中的数据成员BeingDebugged属性、ProcessHeap属性、NTGlobalFlag。
索引勾选这个选项就可以绕过此类反调试技术。
2.protect DRx
这个选项我没用过，但是大体上应该是用来对抗通过硬件断点来进行反调试的技术，比较少见。
《恶意代码》中一笔带过：

3.fix ODString，FPU，Import
4.hook blockInput
5.hook GetTickCount
GetTickCount()返回最近系统时间与当前时间的相差毫秒数。hook就可以绕过时钟检测。
6.hook GetProcessTimes
7.remove EP break
8.custom handler exceptions
9.chance Olly Caption
10.patch NumberOfRvaAndSizes
11.load diver
12.hide OllyDbg windows
绕过窗口痕迹反调试，隐藏OD窗口信息。
13.hook NtSetContextThread
NtSetContextThread设置当前线程上下文信息，可能是通过设置寄存器信息等，防止下硬件断点。
14.hook RDTSC
对抗时钟反调试技术。

(以上很多功能我都没有用到过，网上关于这方面资料很少，以后学习过程中，我会慢慢补齐。)

同时也可以看出hook技术相当的重要啊。