1

我正在分析一个特定的恶意软件样本,它似乎正在执行以下操作,以便写入 explorer.exe 的进程内存并执行代码:-

  1. OpenProcess(在 explorer.exe 上)
  2. NtAllocateVirtualMemory
  3. NtWriteVirtualMemory
  4. 关闭手柄
  5. 创建远程线程
  6. 等待单个对象
  7. GetExitCodeThread

现在我想做的是将调试器附加到 explorer.exe 中新创建的线程并从其入口点开始调试它。那可能吗?

我怎么能做同样的事情呢?

4

1 回答 1

1

您可以运行另一个调试器实例并将其附加到 exporer.exe,然后在CreateRemoteThread参数中查看线程函数的地址,并在那里设置断点。

于 2011-12-25T16:38:41.323 回答