调试新创建的远程线程

时间:2011-12-17 07:08:27

标签: debugging reverse-engineering malware

我正在分析一个特定的恶意软件样本,它似乎正在执行以下操作,以便写入explorer.exe的进程内存并执行代码: -

  1. OpenProcess(在explorer.exe上)
  2. NtAllocateVirtualMemory
  3. NtWriteVirtualMemory
  4. CloseHandle的
  5. CreateRemoteThread的
  6. WaitForSingleObject的
  7. GetExitCodeThread

    8. 现在我想要做的是将调试器附加到explorer.exe中新创建的线程,并从其入口点开始调试它。那可能吗?

    我怎么能这样做呢?

1 个答案:

答案 0 :(得分:1)

您可以运行另一个调试器实例并将其附加到explorer.exe,然后在CreateRemoteThread参数中查找线程函数的地址,并在那里设置断点。

相关问题
最新问题