调试子进程(第36课)

有些样本并不是单独运行的,它在运行过程中可能会创建子进程来完成恶意功能,遇到这种情况,就需要进入子进程中进行调试。

 

如果父进程创建子进程时是以suspended的方式创建的,那么父进程会向子进程进行代码注入,写入之后会调用ResumeThread函数恢复子进程的运行。遇到这种情况,要确定父进程写入代码的地址,当代码写入之后,调用ResumeThread恢复子进程运行前,附加到子进程中,在代码注入的地址下断点并F9让子进程运行。这时再回到父进程中,运行函数ResumeThread,这样子进程就可以断在代码注入的地址了。

 

还有一种创建子进程的方式,就只是简单的开启一个子进程运行,这种情况比较简单,需要注意的一点就是父进程创建子进程时传给子进程的参数,使用OD打开要运行的子进程,传入所需的参数即可开始调试。

 

注意:

如果使用windbg调试的话,可以使用命令.childdbg 1开启子进程调试。

头像
  • ¥ 398.0元
  • 市场价:498.0元
  • ¥ 79.0元
  • 市场价:99.0元
  • ¥ 99.0元
  • 市场价:99.0元
  • ¥ 89.0元
  • 市场价:129.0元

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: