Salta ai contenuti

ScyllaHide - Cheatsheet Anti-Anti-Debug in Usermode

ScyllaHide - Cheatsheet Anti-Anti-Debug in Usermode

ScyllaHide è una libreria open-source usermode anti-anti-debug avanzata per Windows (x86/x64). Malware e packers commerciali rivelano debugger attraverso un insieme ben noto di API call e flag; ScyllaHide aggancia quelle funzioni così ritornano “nessun debugger presente,” permettendo a un analyst di debuggare codice protetto senza attivare la sua evasione. Viene fornito come plugin per x64dbg, IDA, e OllyDbg, ed inoltre può essere eseguito standalone iniettando in un target.

Per authorized malware analysis e software research solamente. ScyllaHide è uno strumento di defensive-research; usalo su campioni e software che sei autorizzato ad analizzare.

Installazione

MetodoCome
x64dbgRilascia gli DLL plugin in x64dbg/plugins/
IDACopia l”IDA plugin nella cartella plugins/ dell”IDA
Standalone (injector)Usa InjectorCLIx64.exe / InjectorGUI.exe
Sourcebuild dal repo x64dbg/ScyllaHide
VerificaIl menu del plugin appare nel debugger

Cosa Nasconde

TecnicaScyllaHide contrasta
IsDebuggerPresentRitorna false
CheckRemoteDebuggerPresentRiporta no debugger
PEB BeingDebugged flagCleared
NtGlobalFlagNormalized
NtQueryInformationProcessProcessDebugPort/Flags spoofed
Heap flagsNormalized
NtSetInformationThread (HideFromDebugger)Blocked
Timing checks (GetTickCount, rdtsc)Opzionalmente mitigati
OutputDebugString / hardware breakpointsHandled/hidden

Usando il Plugin (x64dbg)

PassoAzione
Apri targetCarica il binario packed/protected in x64dbg
OpzioniPlugins → ScyllaHide → Options
Scegli un profiloScegli o sintonizza un hook profile
Allega hooksAbilita prima di eseguire past anti-debug checks
EseguiContinua l”esecuzione; i checks ora passano

Profili

ProfiloUsa
Preset templatesPackers comuni (e.g. VMProtect, Themida-style)
CustomToggle dei singoli hook per un target testardo
Save/loadPersisti un profilo per campione/packer

Iniezione Standalone

# Inietta ScyllaHide in un processo già-running (o spawned)
InjectorCLIx64.exe <pid|path> HookLibraryx64.dll <profile>
OpzioneScopo
Spawn vs attachAvvia il target sotto ScyllaHide o allega dopo
Hook libraryLa DLL che installa gli hook
ProfileQuali anti-debug hook applicare

Tipico Workflow di Unpacking

ScyllaHide è solitamente una pezzo di un toolkit di unpacking insieme ai suoi tool fratelli.

ToolRuolo
ScyllaHideSconfiggi anti-debug così puoi eseguire all”OEP
x64dbgDebugga e raggiungil”Original Entry Point
ScyllaRicostruisci l”Import Address Table, dumpa il PE
Detect It EasyIdentifica il packer / verifica il file unpacked
# Concetto: unpacka un campione protetto
1. Carica campione in x64dbg con ScyllaHide abilitato
2. Esegui past il packer stub all''OEP (anti-debug è neutralizzato)
3. Dumpa il processo e ricostruisci l''IAT con Scylla
4. Verifica il dump con Detect It Easy

ScyllaHide vs Tool Correlati

AspettoScyllaHideTitanHideManual patching
LayerUsermode hooksKernel-mode driverPer-check patches
CoverageBroad API setKernel-level stealthSolo quello che patchi
SetupPlugin/injectDriver installTedioso
Best forEveryday RE debuggingDeeper stealth needsOne-off checks

Risorse