我目前正在学习恶意软件用来防止调试的不同技术,我遇到了一个我似乎无法真正理解的问题。我目前正在尝试找出和调试的这个恶意软件使用了某种反调试技术,它一开始就不允许我附加调试器。我尝试过使用诸如 Scylla-hide 之类的东西,我也尝试过手动进入并挂钩常见的反调试 API 调用以查看发生了什么,但到目前为止还没有运气。我也尝试过使用 WinDbg,希望它能给我一些我可以摆脱的错误消息,它给了我这个: 尝试调试程序时的 WinDbg 输出
所以这让我想到它正在做一些事情来阻止线程启动,这就是导致任何调试器能够附加的原因。我还尝试使用典型的 LoadLibrary CreateRemoteThreadEx 技术注入 DLL,似乎它也不允许我以这种方式创建线程。我已经尽可能多地研究了反调试,但似乎无法找到答案。任何朝着正确方向的轻推将不胜感激。
我希望能够在用户模式下规避这个问题,因为我试图了解它到底在做什么来阻止我进行调试,而不是简单地绕过它。这是我第一次问一个问题,如果有什么难以理解的话,非常抱歉。