调试注入的线程

时间:2012-03-09 13:48:07

标签: windows debugging reverse-engineering code-injection malware

我需要将恶意软件注入的代码调试到Internet Explorer中。如果我可以调试主进程本身就不会有问题,问题是由于很多反调试措施而无法从调试器内部运行恶意软件(而且注入不是通过CreateRemoteThread执行,也不是通过NtQueueApcThread执行,本身已经很有趣了,这也是我想要弄清楚的。)

有没有办法将调试器附加到注入的进程?我可以使用OllyDbg检测我感兴趣的线程,但是我无法附加代码来执行它并了解正在发生的事情。

您的任何建议? Thanx提前!

1 个答案:

答案 0 :(得分:0)

一些反附加技巧是listed here。其中一些人也提到了对策。 FWIW,我能够通过启用“Stop on debugging start”选项,使用IDA附加到第一篇文章(DbgUiRemoteBreakin覆盖技巧)中提到的程序。

如果这没有帮助,我建议发布到RE reddit并提供更多详细信息。