kernel-mode Anti-Anti-Debug plugin. based on intel vt-x && ept technology
驱动已签名,由于使用泄露签名,使用前请关闭杀毒软件。
仅聚焦内核模式能处理的检测功能 (如有遗漏或你有任何想法、建议请告诉我
测试程序:al-khaser
6.1.7600
)10.0.18362.XXXX
)PDBDownloader.exe
下载ntoskrnl.exe
的pdb
文件 (默认在下载在C盘MVConfigBuild.exe ntoskrnl.pdb
生成config.mv
配置文件 并将之移动到c盘根目录C:\
管理员启动CMD:
MVConfigBuild.exe
C:\symbols\ntkrnlmp.pdb\hashxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx\ntkrnlmp.pdb
(你应该确保MVConfigBuild.exe
和msdia140.dll
在同一目录下
可用离线版:离线版config (每个人都可以上传相应版本配置到此仓库.
格式:[版本.mv] 比如 :10.0.18362.295.mv(可以使用cmd查看
文件放置
将
MirageV.dp32
、MirageV.dp64
移动到对应\plugins\
目录下
将
MirageV.dll
移动到对应\Debuggers\bit??\
目录下
windbg -a MirageV.dll
!MirageVRun
将
Mirage.sys
移动到C:\Windows\System32\drivers\
目录下
输入进程id - 点击
附加进程
- 点击开启
直接点击开启
未来的某一天会公开代码...