作为我工作的一部分,我正在调试发现的恶意软件,执行后他的行为非常基本:
- 被处决
- 从内存中解密大量数据并获得一个新的PE(从内存中)
- 创建一个处于挂起状态的子进程
- 将获取到的新数据转储到 Created 子进程中
- 设置线程上下文
- 恢复线程
现在我正在考虑的一个问题是,我不知道这EntryPoint是什么,所以我不知道我将更改为内存字节的哪一部分EB FE(JMP < ToSelf >) 以便能够从一开始就调试进程
一旦创建了新进程并且我将调试器附加到它 - OLLYDbg 对于这种情况(并且进程处于暂停状态)按下F8 - step over导致应用程序有大约 10 秒的巨大延迟,直到操作码完成 - 这没有任何意义. 此外,如果我观看新创建的进程,Sysinternals - ProcessExplorer我可以看到在我按 F8 之后,该进程的 CPU 使用率一直很高,一直是 50-90,直到操作码完成。这也导致所有计算机运行非常缓慢
是什么原因造成的?我怎么能绕过它?
如果我不调试进程,它就不会发生。