0

マルウェアによってInternetExplorerに挿入されたコードをデバッグする必要があります。メインプロセスをデバッグできれば、それ自体は問題になりません。問題は、デバッグ対策がたくさんあるため、デバッガー内からマルウェアを実行できないことです(さらに、インジェクションはCreateRemoteThreadまたはNtQueueApcThreadを介して実行されません。それ自体はすでに興味深いものであり、それも私が理解したいことです)。

注入されたプロセスにデバッガーをアタッチする方法はありますか?OllyDbgを使用して興味のあるスレッドを検出することはできますが、コードにアタッチしてステップを実行し、何が起こっているのかを理解する方法はありません。

あなたからの提案はありますか?よろしくお願いします!

4

1 に答える 1

0

付着防止のトリックのいくつかをここにリストします。それらのいくつかは、対策についても言及しています。FWIW、「デバッグ開始時に停止」オプションを有効にすることで、IDAを使用して最初の投稿で説明したプログラム(DbgUiRemoteBreakin上書きトリック)に接続できました。

それでも問題が解決しない場合は、詳細をREredditに投稿することをお勧めします。

于 2012-03-09T14:51:44.730 に答える