2

我想知道调试器注入的机制是如何工作的。为什么“图像文件执行选项”如此特别?

我有两个猜测。

  1. CreateProcess将调用一个内部函数来检查注册表项列表。如果找到,则它会操纵参数并调用调试器 exe。

  2. 还有一些其他服务监听 CreateProcess 调用并拦截它们。它终止原始调用或消息(如果 createprocess 是消息或类似消息),然后它运行新进程,就好像原始调用者调用它一样。

我的愿望是在应用程序启动之前验证和更新组件。我喜欢 IFEO 的“功能”,但我需要在验证步骤之后运行原始过程,所以我需要一种方法来运行它而不递归到更新程序中。我希望通过更多地了解注射系统,我可以让这个系统正常工作。

4

1 回答 1

2

这篇文章解释了它是如何工作的。

在 Windows XP 和 2003 中,用户模式CreateProcess代码读取注册表,并在需要时启动调试器。

在较新版本的 Windows 中,此功能已进入内核模式。

但是这两种情况似乎都没有涉及CreateProcess.

于 2012-08-08T17:12:06.543 回答