Question

Я анализирую конкретный образец вредоносного ПО, и, похоже, он делает следующее, чтобы записать в память процесса файл explorer.exe и выполнить код: -

OpenProcess (для explorer.exe).)
NtAllocateVirtualMemory
NtWriteVirtualMemory
CloseHandle
CreateRemoteThread
WaitForSingleObject
GetExitCodeThread71018 * Теперь я хочу присоединить отладчик к вновь созданному потоку в explorer.exe и отладить его с точки входа.Возможно ли это?
Как я могу поступить так же?

Abyx · Answer 1 · 25 декабря 2011

Вы можете запустить другой экземпляр отладчика и присоединить его к exporer.exe, затем посмотреть адрес функции потока в параметрах CreateRemoteThread и установить там точку останова.

отладка вновь созданного удаленного потока

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

отладка вновь созданного удаленного потока

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы