0

我需要调试恶意软件注入 Internet Explorer 的代码。如果我可以调试主进程本身就没有问题,问题是由于许多反调试措施,我无法从调试器内部运行恶意软件(此外,注入不是通过 CreateRemoteThread 执行的,也不是通过 NtQueueApcThread 执行的,即本身就很有趣,这也是我想弄清楚的)。

有没有办法将调试器附加到注入的进程?我可以使用 OllyDbg 检测到我感兴趣的线程,但是我无法附加到代码上来执行它并了解正在发生的事情。

你有什么建议吗?提前谢谢!

4

1 回答 1

0

此处列出了一些反连接技巧。他们中的一些人也提到了对策。FWIW,通过启用“调试开始时停止”选项,我能够使用 IDA 附加到第一篇文章中提到的程序(DbgUiRemoteBreakin 覆盖技巧)。

如果这没有帮助,我建议在RE reddit上发布更多详细信息。

于 2012-03-09T14:51:44.730 回答