debugging - 新しく作成されたリモートスレッドのデバッグ

翻译自：https://stackoverflow.com/questions/8543255 2011-12-17T07:08:26.587

1259 次

1

私は特定のマルウェアサンプルを分析しており、explorer.exe のプロセスメモリに書き込み、コードを実行するために、次のことを行っているようです:-

OpenProcess (explorer.exe 上)
NtAllocateVirtualMemory
NtWriteVirtualMemory
ハンドルを閉じる
CreateRemoteThread
WaitForSingleObject
GetExitCodeThread

ここでやりたいことは、explorer.exe で新しく作成されたスレッドにデバッガーを接続し、そのエントリポイントからデバッグすることです。それは可能でしょうか？

どうすれば同じことをすることができますか？

1 に答える 1

1

デバッガーの別のインスタンスを実行してexporer.exeにアタッチし、CreateRemoteThreadパラメーターでスレッド関数のアドレスを調べて、そこにブレークポイントを設定できます。

于 2011-12-25T16:38:41.323 に答える