Ollydbg 2:附加到挂起的进程后中断

逆向工程 ollydbg
2021-06-12 10:49:42

在分析恶意软件时,我遇到了将实际恶意软件代码注入新生成的进程并以这种方式执行的打包程序。为此,他们创建了一个处于挂起状态的进程,注入代码并ntdll.NtResumeThread在 Windows 上恢复它

我想在注入完成后附加到挂起的进程,以转储内存并获取解压缩的二进制文件。为此,我在ntdll.NtResumeThread. 使用 Olly 2,我可以附加到挂起的进程。

我的问题是现在这似乎恢复了这个过程。如果它在入口点破裂,那也没关系。但事实并非如此。Olly 不会中断,直到我附加的进程终止。是的,我可以转储内存。但前提是它没有被恶意软件修改。此外,我不希望恶意软件代码在解包过程中运行。

那么,有没有办法让 Olly 在新进程的入口点(可靠地)中断?

提前致谢!

1个回答

仅供参考,您所指的注入方法称为动态分叉流程挖空

当您使用 OllyDbg 附加到子进程时,OllyDbg 将为自己创建一个新线程,但主线程(NtResumeThread()将从父进程恢复的主线程)仍将挂起。一旦你附加了 OllyDbg,你就可以在 OEP 上设置断点并恢复挂起的线程;这将导致 OllyDbg 在 OEP 处中断。

其它你可能感兴趣的问题
上一篇反编译 .NET 封送代码 下一篇使用radare2反汇编未知的DOS MZ可执行文件