我想知道调试器注入的机制是如何工作的。为什么“图像文件执行选项”如此特别?
我有两个猜测。
CreateProcess将调用一个内部函数来检查注册表项列表。如果找到,则它会操纵参数并调用调试器 exe。
还有一些其他服务监听 CreateProcess 调用并拦截它们。它终止原始调用或消息(如果 createprocess 是消息或类似消息),然后它运行新进程,就好像原始调用者调用它一样。
我的愿望是在应用程序启动之前验证和更新组件。我喜欢 IFEO 的“功能”,但我需要在验证步骤之后运行原始过程,所以我需要一种方法来运行它而不递归到更新程序中。我希望通过更多地了解注射系统,我可以让这个系统正常工作。