我正在对英特尔Pin进行一些研究。我正在寻找使用Pin API将Pin工具附加到现有流程的方法。
我可以看到有一种方法可以使用pin.exe -pid <process_id>在已经运行的流程上运行pin可执行文件,但我无法在pin documentation中看到任何内容。
编辑:根据之前的评论,我用一个例子来更新问题。
我试图解决的问题是检测注入的流程(这是用于恶意软件分析)。
如果我在仪器上的进程/二进制文件创建子进程,则pin可以无缝地将自身附加到所述子进程。精彩!
但是,如果二元过程/二进制I仪器注入另一个过程(即OpenProcess&gt; VirtualAllocEx&gt; WriteProcessMemory&gt; CreateRemoteThread )然后Pin将不会附加到注入的过程。我需要能够告诉pin在运行时动态附加。
答案 0 :(得分:0)
你必须自己实现类似的东西 - 检测系统调用,如果你看到注入模式,请将引脚连接到进程。