windows - Fejlfinding af en indsprøjtet tråd

Indlæg af Hanne Mølgaard Plasc

Problem



Jeg skal debugge koden indsprøjtet af en malware til internet explorer. I sig selv ville det ikke være problem, hvis jeg kunne fejle hovedprocessen. Problemet er, at jeg ikke kan køre malware fra inde i debuggeren på grund af mange anti-debugging-foranstaltninger (desuden er injektionen ikke udført via CreateRemoteThread eller via NtQueueApcThread, at i sig selv er allerede interessant, og det er det jeg også gerne vil finde ud af).


Er der mulighed for at vedhæfte en debugger til den injicerede proces? Jeg kan opdage tråden, jeg er interesseret i at bruge OllyDbg, men der er ingen måde jeg kan vedhæfte koden for at klatre det og forstå, hvad der foregår.


Ethvert forslag fra dig?
Thanx på forhånd!

Bedste reference


Nogle af de anti-attach tricks er angivet her. Nogle af dem nævner modforanstaltninger også. FWIW, jeg kunne vedhæfte det program, der er nævnt i det første indlæg (DbgUiRemoteBreakin overskrivning) ved hjælp af IDA ved at aktivere 'Stop on debugging start' -indstillingen. [1]


Hvis det ikke hjælper, foreslår jeg at sende til RE reddit med flere detaljer. [2]