如何调试将自身注入另一个进程的恶意软件？

#1 楼

在大多数情况下，恶意软件会执行类似的操作，仅仅是为了使调试更加困难。因此，您可以轻松地在注入过程中断点并将其重定向到另一个过程。确保同时重定向内存写/注入和代码执行。

将其重定向到同一进程可能有效，但也可能导致问题。创建一个经过调试的虚拟进程（我经常使用calc.exe）可能是合理的，让恶意软件注入该进程而不是原始目标，然后BP注入代码并运行。

如果您有兴趣，也可以调试iexplore.exe。您需要将其杀死，然后从ollydbg中重新打开。字节到jmp self（x86 / 64字节是EB FE），然后让恶意代码在该循环中执行，暂停进程，在跳转自循环上放置一个断点，然后手动将其替换为原始代码。这是另一个常见的技巧。

#2 楼

大多数情况下，恶意软件会将自己注入另一个进程时，它将调用“ SetThreadContext”来设置CONTEXT结构。您可以通过CONTEXT结构中的“ eax”成员轻松获得目标进程的“ oep”。 “ oep”代表目标进程恢复时的原始地址，您可以在“ oep”处进行循环，以便目标进程始终在循环中运行。但是如何在“ oep”中进行循环？ >
恶意软件通常调用“ WriteProcessMemory”将代码写入目标进程。“ WriteProcessMemory”的第二个参数是“ lpBaseAddress”，这意味着该代码在目标进程中的起始位置。第三个参数是“ lpBuffer” ，它代表包含此代码的缓冲区。

您可以轻松计算“ oep”和“ lpBaseAddress”之间的偏移量，然后，如果offset> 0以及offset <参数“ nSize” ，将偏移量添加到“ lpBuffer”，您将在缓冲区中获得包含“ oep”代码的地址。例如，targ的“ oep” et process是0x401000，参数“ lpBaseAddress”是0x400000，参数“ lpBuffer”是0x120000，因此该地址在缓冲区中包含“ oep”代码是0x401000-0x400000 + 0x120000 = 0x121000。

然后，您可以将地址中包含“ oep”的指令更改为“ jmp本身”（即将前2个字节修补到EB FE）。在上面的示例中为“ jmp 0x121000”。调用“ WriteProcessMemory”和“ SetThreadContext”后，您会看到代码在目标进程的“ oep”处循环运行，因为指令已更改为“ jmp oep”，在上例中为“ jmp 0x401000”。目标进程“ stops”。

现在您可以将其与OllyDbg相连并开始工作！

在某些情况下，恶意软件会使用其他方式（例如共享节，Atombombing）将自身注入目标进程。现在，在这些情况下，您可能找不到“ WriteProcessMemory”，但是您会发现恶意软件使用其他方式来注入代码。因此，您可以更改通过将前2个字节修补到EB FE注入到目标进程中的代码，目标进程将以与第一种情况相同的方式循环运行。