2

デバッガインジェクションのメカニズムがどのように機能するのか知りたいです。「画像ファイル実行オプション」が特別なのはなぜですか?

私には2つの推測があります。

  1. CreateProcessは、レジストリキーのリストをチェックする内部関数を呼び出します。見つかった場合は、引数を操作し、代わりにデバッガーexeを呼び出します。

  2. CreateProcess呼び出しをリッスンし、それらをインターセプトする他のサービスがいくつかあります。元の呼び出しまたはメッセージを強制終了し(createprocessがメッセージまたはメッセージのようなものである場合)、元の呼び出し元が呼び出した場合と同じように新しいプロセスを実行します。

私の望みは、アプリケーションを起動する前にコンポーネントを検証して更新することです。IFEOの「機能」が好きですが、検証ステップの後に元のプロセスを実行する必要があるため、アップデーターに再帰せずに実行する方法が必要です。インジェクションシステムについてもっと学ぶことで、このシステムが機能するようになることを願っています。

4

1 に答える 1

2

この記事では、その仕組みについて説明します。

Windows XPおよび2003では、ユーザーモードCreateProcessコードがレジストリを読み取り、必要に応じて、代わりにデバッガーを起動します。

最近のバージョンのWindowsでは、この機能はカーネルモードに移行しました。

しかし、どちらの場合も、の一般的な傍受メカニズムが関係しているようには見えませんCreateProcess

于 2012-08-08T17:12:06.543 に答える