Ir al contenido

ScyllaHide - Hoja de Trucos de Anti-Anti-Debug en Modo Usuario

ScyllaHide - Hoja de Trucos de Anti-Anti-Debug en Modo Usuario

ScyllaHide es una librería avanzada de código abierto anti-anti-debug en modo usuario para Windows (x86/x64). El malware y los empaquetadores comerciales detectan depuradores a través de un conjunto bien conocido de llamadas a API y banderas; ScyllaHide intercepta esas funciones para que devuelvan “no hay depurador presente”, permitiendo que un analista depure código protegido sin activar sus evasiones. Se distribuye como un complemento para x64dbg, IDA y OllyDbg, y también puede ejecutarse de forma independiente inyectándose en un destino.

Solo para análisis de malware autorizado e investigación de software. ScyllaHide es una herramienta de investigación defensiva; úsala en muestras y software que tengas permiso para analizar.

Installation

MétodoCómo
x64dbgColoca las DLL del complemento en x64dbg/plugins/
IDACopia el complemento de IDA en la carpeta plugins/ de IDA
Standalone (injector)Usa InjectorCLIx64.exe / InjectorGUI.exe
Código fuenteCompila desde el repositorio x64dbg/ScyllaHide
VerificarEl menú del complemento aparece en el depurador

What It Hides

TécnicaScyllaHide counters
IsDebuggerPresentReturns false
CheckRemoteDebuggerPresentReporta que no hay depurador
Bandera BeingDebugged de PEBCleared
NtGlobalFlagNormalizado
NtQueryInformationProcessProcessDebugPort/Flags spoofed
Heap flagsNormalizado
NtSetInformationThread (HideFromDebugger)Bloqueado
Timing checks (GetTickCount, rdtsc)Opcionalmente mitigado
OutputDebugString / hardware breakpointsHandled/hidden

Usar el Complemento (x64dbg)

PasoAcción
Abrir destinoCarga el binario empaquetado/protegido en x64dbg
OpcionesPlugins → ScyllaHide → Options
Elegir un perfilElige o ajusta un perfil de interceptación
Activar interceptacionesActiva antes de pasar controles anti-depuración
EjecutarContinúa la ejecución; los controles ahora pasan

Profiles

PerfilUso
Plantillas preestablecidasEmpaquetadores comunes (p. ej. VMProtect, estilo Themida)
PersonalizadoAlternar interceptaciones individuales para un destino rebelde
Guardar/cargarPersiste un perfil por muestra/empaquetador

Standalone Injection

# Inyecta ScyllaHide en un proceso ya en ejecución (o iniciado)
InjectorCLIx64.exe <pid|path> HookLibraryx64.dll <profile>
OpciónPropósito
Spawn vs attachInicia el destino bajo ScyllaHide o se adhiere después
Hook libraryLa DLL que instala las interceptaciones
PerfilQué interceptaciones anti-depuración aplicar

Flujo de Trabajo Típico de Desempaquetado

ScyllaHide suele ser una pieza de un conjunto de desempaquetamiento junto con sus herramientas hermanas.

HerramientaRol
ScyllaHideDerrota la protección anti-depuración para llegar al OEP
x64dbgDepura y llega al Original Entry Point
ScyllaReconstruye la Import Address Table, vuelca el PE
Detect It EasyIdentifica el empaquetador / verifica el archivo desempaquetado
# Concepto: desempaquetar una muestra protegida
1. Carga la muestra en x64dbg con ScyllaHide activado
2. Ejecuta pasado el stub del empaquetador al OEP (anti-depuración es neutralizado)
3. Vuelca el proceso y reconstruye la IAT con Scylla
4. Verifica el volcado con Detect It Easy

ScyllaHide vs Herramientas Relacionadas

AspectoScyllaHideTitanHideParches manuales
CapaInterceptaciones en modo usuarioDriver en modo kernelParches por control
CoberturaConjunto amplio de APISigilo a nivel kernelSolo lo que parches
ConfiguraciónComplemento/inyectarInstalar driverTedioso
Mejor paraDepuración de RE cotidianaNecesidades más profundas de sigiloControles únicos

Resources