تخطَّ إلى المحتوى

ScyllaHide - مكافح مكافحة التصحيح في وضع المستخدم

ScyllaHide - مكافح مكافحة التصحيح في وضع المستخدم

ScyllaHide هي مكتبة usermode anti-anti-debug متقدمة مفتوحة المصدر لـ Windows (x86/x64). تكتشف البرامج الضارة والحزم التجارية أجهزة التصحيح من خلال مجموعة معروفة من استدعاءات API والعلامات؛ يقوم ScyllaHide بـ ربط تلك الوظائف حتى تُرجع “لا يوجد مصحح”، مما يسمح للمحلل بتصحيح الكود المحمي دون تنبيه تفاديه. تأتي كمكون إضافي لـ x64dbg و IDA و OllyDbg، وكذلك يمكنها الهقن في هدف.

فقط لأغراض البحث المصرح به والبرامج الضارة. ScyllaHide هي أداة بحث دفاعي؛ استخدمها على العينات والبرامج التي يُسمح لك بتحليلها.

التثبيت

الطريقةالكيفية
x64dbgضع ملفات DLL الإضافية في x64dbg/plugins/
IDAانسخ مكون إضافي IDA إلى مجلد plugins/ الخاص بـ IDA
Standalone (injector)استخدم InjectorCLIx64.exe / InjectorGUI.exe
Sourceبناء من مستودع x64dbg/ScyllaHide
التحققيظهر قائمة المكون الإضافي في المصحح

ما الذي يخفيه

التقنيةيقاوم ScyllaHide
IsDebuggerPresentإرجاع خطأ
CheckRemoteDebuggerPresentالإبلاغ عن عدم وجود مصحح
PEB BeingDebugged flagتم المسح
NtGlobalFlagمعايير
NtQueryInformationProcessProcessDebugPort/Flags مموّه
Heap flagsمعايير
NtSetInformationThread (HideFromDebugger)محجوب
Timing checks (GetTickCount, rdtsc)معالج اختياري
OutputDebugString / hardware breakpointsمعالجة/مخفية

استخدام المكون الإضافي (x64dbg)

الخطوةالإجراء
افتح الهدفحمّل الملف الثنائي المحمى/المحمي في x64dbg
الخياراتPlugins → ScyllaHide → Options
اختر ملف تعريفاختر أو ضبط ملف تعريف الربط
إرفاق الربطاتتمكين قبل تشغيل فحوصات مكافحة التصحيح
تشغيلاستمر في التنفيذ؛ الآن تمر الفحوصات

الملفات الشخصية

الملف الشخصيالاستخدام
قوالب معينة مسبقًاالحزم الشائعة (على سبيل المثال VMProtect أو نمط Themida)
مخصصتبديل الربطات الفردية للهدف العنيد
حفظ/تحميلالاحتفاظ بملف تعريف لكل عينة/حزمة

حقن Standalone

# حقن ScyllaHide في عملية تعمل بالفعل (أو تم إطلاقها)
InjectorCLIx64.exe <pid|path> HookLibraryx64.dll <profile>
الخيارالغرض
Spawn vs attachابدأ الهدف تحت ScyllaHide أو الإرفاق لاحقًا
Hook libraryDLL الذي يثبت الربطات
Profileأي ربطات مكافحة تصحيح يجب تطبيقها

سير عمل فك التغليف النموذجي

عادة ما يكون ScyllaHide جزءًا واحدًا من مجموعة أدوات فك التغليف إلى جانب أدواتها المشابهة.

الأداةالدور
ScyllaHideهزم مكافحة التصحيح حتى تتمكن من التشغيل إلى OEP
x64dbgالتصحيح والوصول إلى نقطة الدخول الأصلية
Scyllaإعادة بناء جدول عنوان الاستيراد وتفريغ PE
Detect It Easyتحديد الحزمة / التحقق من الملف المفكوك
# المفهوم: فك تغليف عينة محمية
1. حمّل العينة في x64dbg مع تمكين ScyllaHide
2. قم بالتشغيل بعد ملخص الحزمة إلى OEP (تم تحييد مكافحة التصحيح)
3. فرّغ العملية وأعد بناء IAT مع Scylla
4. تحقق من التفريغ باستخدام Detect It Easy

ScyllaHide مقابل الأدوات ذات الصلة

الجانبScyllaHideTitanHideالترقيع اليدوي
الطبقةربطات وضع المستخدمبرنامج تشغيل وضع النواةفحوصات التصحيح الفردي
التغطيةمجموعة واسعة من APIالخفاء على مستوى النواةفقط ما تصححه
الإعدادمكون إضافي/حقنتثبيت برنامج التشغيلمرهق
الأفضل لـتصحيح RE اليومياحتياجات الخفاء الأعمقفحوصات لمرة واحدة

الموارد