无法附加到神秘的 PID

逆向工程 视窗 过程 弗里达 进程黑客
2021-06-11 10:22:40

我有一个可疑的过程。我是通过 ProcessHacker 的网络选项卡找到的。

ProcessHacker 将进程显示为未知。

该进程侦听标准 Windows 工具也找不到的常量端口号。

标准 Windows 工具也找不到进程 ID。

查看 Wireshark 流量,我看到有流量流向俄罗斯的两个 IP。

我试图将 Frida 附加到此过程中,但 Frida 报告如下错误,

[Error: Unexpected error allocating memory in target process (VirtualAlloc returned 0x00000005)]

我已经使用了 64 位和 32 位版本的 Frida,但仍然出现相同的错误。

1个回答

它不是恶意软件。它是 cygwin 的 ssh-agent,它使用不存在的 PID 作为父级。我可以使用新版本的 ProcessHacker 解决这个问题。

其它你可能感兴趣的问题
上一篇Ghidra 和 IDA 中的对齐 下一篇在 ASM 中进行静态代码分析时如何找出功能?