【发布时间】:2012-03-26 23:08:05
【问题描述】:
我需要调试恶意软件注入 Internet Explorer 的代码。如果我可以调试主进程本身就没有问题,问题是由于许多反调试措施,我无法从调试器内部运行恶意软件(此外,注入不是通过 CreateRemoteThread 执行的,也不是通过 NtQueueApcThread 执行的,即本身就已经很有趣了,这也是我想弄清楚的)。
有没有办法将调试器附加到注入的进程?我可以使用 OllyDbg 检测到我感兴趣的线程,但是我无法附加到代码上来单步执行它并了解发生了什么。
你有什么建议吗? 提前谢谢!
【问题讨论】:
-
这通常需要反汇编恶意软件代码,以便您了解如何禁用其对策。当然,它可能也有一个对策。删除它更快。
-
除了尝试隐藏 Ollydbg 的明显插件外,您还可以考虑使用像 WinDbg 这样的内核模式调试器。大多数反调试器代码旨在检测用户模式调试器,我怀疑恶意软件加载某种驱动程序只是为了检测内核模式调试器。
-
我可以确认该恶意软件没有使用驱动程序,由于多个加密层和 CRC (不幸的是,隐藏 olly 的插件在这种情况下没有效果),删除反调试技巧也有点麻烦。我将不得不尝试使用 WinDbg,它可能会工作,谢谢。
标签: windows debugging reverse-engineering code-injection malware