Windows 调试注入线程
我需要调试恶意软件注入internet explorer的代码。就其本身而言,如果我可以调试主进程,就不会有问题,问题是我无法从调试器内部运行恶意软件,因为有很多反调试措施(此外,注入不是通过CreateRemoteThread执行的,也不是通过NtQueueApcThread执行的,这本身已经很有趣,这也是我想弄清楚的) 是否有方法将调试器附加到注入的进程?我可以检测到我对使用OllyDbg感兴趣的线程,但是我无法附加到代码来逐步执行它并了解发生了什么 你有什么建议吗?Windows 调试注入线程,windows,debugging,reverse-engineering,code-injection,malware,Windows,Debugging,Reverse Engineering,Code Injection,Malware,我需要调试恶意软件注入internet explorer的代码。就其本身而言,如果我可以调试主进程,就不会有问题,问题是我无法从调试器内部运行恶意软件,因为有很多反调试措施(此外,注入不是通过CreateRemoteThread执行的,也不是通过NtQueueApcThread执行的,这本身已经很有趣,这也是我想弄清楚的) 是否有方法将调试器附加到注入的进程?我可以检测到我对使用OllyDbg感兴趣的线程,但是我无法附加到代码来逐步执行它并了解发生了什么 你有什么建议吗? 先走一步 一些反连接技
先走一步 一些反连接技巧是。其中一些还提到了对策。FWIW,通过启用“调试开始时停止”选项,我能够使用IDA连接到第一篇文章(DbgUiRemoteBreakin覆盖技巧)中提到的程序
如果这没有帮助,我建议将更多详细信息发布到。这通常需要反汇编恶意软件代码,以便了解如何禁用其对策。当然,它可能也有相应的对策。删除它会更快。除了尝试隐藏Ollydbg的明显插件外,您还可以研究使用像WinDbg这样的kernelmode调试器。大多数反调试器代码旨在检测usermode调试器,我怀疑恶意软件加载某种驱动程序只是为了检测kernelmode调试器。我可以确认恶意软件没有使用驱动程序,而且由于多个加密层和CRC,删除反debug技巧有点麻烦(不幸的是,用于隐藏olly的插件在这种情况下没有效果)。我必须尝试使用WinDbg,它可能会起作用,谢谢。