【问题标题】:Debugging an injected thread调试注入的线程
【发布时间】:2012-03-26 23:08:05
【问题描述】:

我需要调试恶意软件注入 Internet Explorer 的代码。如果我可以调试主进程本身就没有问题,问题是由于许多反调试措施,我无法从调试器内部运行恶意软件(此外,注入不是通过 CreateRemoteThread 执行的,也不是通过 NtQueueApcThread 执行的,即本身就已经很有趣了,这也是我想弄清楚的)。

有没有办法将调试器附加到注入的进程?我可以使用 OllyDbg 检测到我感兴趣的线程,但是我无法附加到代码上来单步执行它并了解发生了什么。

你有什么建议吗? 提前谢谢!

【问题讨论】:

  • 这通常需要反汇编恶意软件代码,以便您了解如何禁用其对策。当然,它可能也有一个对策。删除它更快。
  • 除了尝试隐藏 Ollydbg 的明显插件外,您还可以考虑使用像 WinDbg 这样的内核模式调试器。大多数反调试器代码旨在检测用户模式调试器,我怀疑恶意软件加载某种驱动程序只是为了检测内核模式调试器。
  • 我可以确认该恶意软件没有使用驱动程序,由于多个加密层和 CRC (不幸的是,隐藏 olly 的插件在这种情况下没有效果),删除反调试技巧也有点麻烦。我将不得不尝试使用 WinDbg,它可能会工作,谢谢。

标签: windows debugging reverse-engineering code-injection malware


【解决方案1】:

一些反连接技巧是listed here。他们中的一些人也提到了对策。 FWIW,通过启用“调试开始时停止”选项,我能够使用 IDA 附加到第一篇文章中提到的程序(DbgUiRemoteBreakin 覆盖技巧)。

如果这没有帮助,我建议您在RE reddit 上发布更多详细信息。

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 2013-01-26
    • 2011-07-13
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多