IDA Pro 调试:跟随子进程

逆向工程 艾达 调试 linux 小精灵 动态分析
2021-06-23 03:22:44

我正在对一个恶意软件进行逆向工程,该恶意软件创建了许多子进程,我正在尝试使用 IDA Pro 和 IDA 的本地 Linux 调试器对 ELF 二进制文件进行动态分析,但我无法让 IDA 附加到子进程。

有没有办法强制 IDA 跟随子进程而不是父进程?

我试过使用 gdbserver,它似乎缺乏 gdb 的后续叉模式功能,但我找不到关于子进程和 IDA Pro Linux 调试器的任何信息。

1个回答

AFAIK IDA不具备该功能,所以你必须做你自己通过设置断点或步进到调用进程的创建功能(通常execvefork等等),然后强行通过使用其他IDA实例或创建实例GDB调试要么他们。

您将无法在单个 IDA 实例中调试多个进程。

如果要调试这样的过程,你可以用自己产卵过程中更换execve的,附加到这个过程中,等有很多答案在网上,如果你不限制IDA明确。

一旦您调试了一个进程,您可以使用的一个常见技巧是将被调试的进程放入一个JMP $-2无限循环中(EB FC在 x86 CPU 上),分离您的原始调试器,重新连接 IDA 并恢复您替换的原始指令序列JMP $-2

其它你可能感兴趣的问题
上一篇如何记录方法中引用的字符串 - Smali 下一篇是否可以从正在运行的 .exe 文件中提取/读取变量?