2
我調試惡意軟件做注射方式Notepad.exe使用以下方法:如何調試惡意軟件注入代碼?
CreateProcess(notepad.exe , create_suspend)
GetThreadContext
VirtualProtectEx
WriteProcessMemory(address=1000000, Size:10200)
WriteProcessMemory(address=7FFD8008, Size:4)
SetThreadContext
ResumeThread
- 沒有PID附加的Notepad.exe它恢復之前調試器。
- 恢復後,線程運行得如此之快以至於我無法及時附加到ollydgb。
- I轉儲內存並將其保存爲PE寫入Notepad.exe的內存, 但它運行時出錯。
那麼如何調試惡意軟件注入代碼?謝謝!!
謝謝,我會試試看 – user1177284