调试子进程的方法

于 2022-10-08 08:23:40 发布
阅读量400 收藏 1
点赞数
分类专栏: 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xuqi7/article/details/127202099
版权

调试子进程的方法

情况1:恶意程序注入进程数据并恢复线程

被注入的进程可能是已经存在的,也可能是自己创建的
相关API:

WriteProcessMemory
ResumeThread

方法1

为了从入口点开始调试打开的子进程,逆向分析人员可以在WriteProcessMemory()中设置断点,当包含入口点的节被写入子进程的时候,将入口点代码补丁为“跳往自身”指令(0xEB0xFE)。当子进程的主线程被恢复,子进程将在入口点进入一个死循环。这时逆向分析人员就可以附加一个调试器到子进程,恢复被修改的指令,继续正常的调试。

来自 脱壳的艺术 文档,缺点就是有可能卡死

方法2

在子进程的主线程被恢复之前,新打开一个调试器附加到子进程,设置相应的内存执行断点,然后在原调试器将子进程的主线程恢复,这样子进程会触发内存执行断点,就可以在新调试器里继续调试了。建议使用这种方法。

情况2:直接创建子进程

相关API:

CreateProcessA/W

如果和父进程没关系,直接去调试子程序就好了;
如果有不可分割的关系,考虑使用镜像劫持的方法,不行可以用改文件入口点为死循环的方法。

2020/10/24

慢慢适应: https://www.cnblogs.com/-rvy-/p/16767862.html

xuqi7
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
如何调试子进程
11-18
C语言中,如何调试子程序,利用gdb跟踪到fork后产生的子进程
进程调试工具
12-16
进程调试工具
用gdb调试子进程
热门推荐
Eric的博客
09-01 1万+
缺省gdb是调试主进程的,可是现在采用daemon模式工作的程序那么多,主进程通常很快就结束了,子进程才是真正干活的。怎么跟踪调试子进程呢?在gdb里面执行:set follow-fork-mode child 则gdb就可以调试子进程了。感谢互联网,感谢google。
调试子进程
数据库技术
08-02 368
一、调试子进程 gdb调试多进程时默认追踪父进程。切换到默认开始调试子进程的命令:set follow-fork-mode child。这个命令是要在调试前使用。 二、同时调试子进程 要同时调试父进程和子进程,可以使用“set detach-on-fork off”(默认detach-on-fork是on)命令,这样gdb就能同时调试子进程,并且在调试一个进程时,另外一个进程处于挂起状态。默认情况,是会将子进程分离出去,父进程会变为init,该子进程独立运行,不受gdb控制。 让父子进程都同时运行,可以
全面调试子进程
彬彬和他的程序之旅
12-25 609
windbg调试子进程
[Windows]_[C/C++]_[如何调试子进程]
Tobey(我是机器人)
09-30 1550
场景 VC++ 的程序A在启动程序C时, 如果需要调试程序C的话一般有两种, 一种是通过菜单 调试->附加到进程的方式来调试程序, 缺点就是这个进程必须先启动, 但是一启动的话有可能就执行了需要调试的那部分逻辑.另一种方式就是通过在程序C的Main里插入以下代码来调试. #if 1 __debugbreak(); #endif说明 在配置好使用VS在程序发生问题时需要调试调试提醒后,程序A
进程调试
12-03
进程调试器,调试分析之:怎么从通达信搞出行情数据?
C#中一些你可能没用过的调试窗口的方法
01-21
首先说明:如果没有进入调试模式的话,默认的调试窗口如下: 开始前的准备: 新建控制台程序DebugWindowDemo: 修改Program.cs 的代码为: 代码如下:using System;using System.Threading;using System.Threading...
ntsd.exe 用户态进程调试工具
07-10
ntsd是一个用户态进程调试工具,从Windows 2000就开始被附随在System32目录下。它能够结束除System、smss.exe、csrss.exe、lsass.exe及各种rootkit程序外所有的程序。但在Windows Vista及以上版本的Windows中不含...
如何调试守护进程
07-30
分析和理解这样的代码可以帮助你更好地理解守护进程的工作原理和调试方法。通过阅读源码,你可以看到 `fork()`、`setsid()` 和其他相关函数的使用,这些都是创建守护进程的关键步骤。 总的来说,调试守护进程需要对...
51系列子程序(调试通过,超好用)
08-21
51系列子程序(调试通过,超好用)51系列子程序(调试通过,超好用)
x64dbg反检测插件2017-1-21版
02-06
x64dbg反检测插件2017年1月21日版本
操作系统进程调试
04-07
掌握这些工具的使用方法调试的基础。 6. **进程间通信(IPC)**:当多个进程需要共享数据或协调工作时,会使用各种IPC机制,如管道、消息队列、共享内存等。调试时需理解这些通信方式,以便分析潜在的问题。 7. ...
易语言获取进程id的方法
08-26
易语言获取进程id的方法 易语言获取进程id的方法是指在易语言中通过编程来获取当前系统中某个进程的进程标识符(Process ID)。在本文中,我们将介绍如何通过易语言来获取进程ID,整个过程不需要使用dll和模块,...
VS下Windows智能设备多进程联合调试方法
10-16
##### 步骤四:选择调试进程 完成上述配置后,VS会列出所有可用的进程供我们选择。从中找到之前启动的进程(例如`CameraTool`),并选中它,然后点击“附加”按钮。 ##### 步骤五:开始调试 现在,我们已经成功将...
调试被别的进程创建的子进程
qq_41490873的博客
12-12 176
修改其子进程的OEP指向地址代码的前两个字节 0xfeeb,对应的汇编代码是JMP eip,子进程启动后一直在EIP处空转,这时就可以使用OD来附加子程序,在OEP处下一个断点,恢复原来的两个字节。然后就可以愉快的单步调试了。。。。。。。。。。。。。。。。。。。。。。。。。。。。 ...
debug : 调试主进程启动的子进程
weixin_30826761的博客
03-23 219
http://blog.csdn.net/lostspeed/article/details/10109867 转载于:https://www.cnblogs.com/zengkefu/p/6603491.html
GDB 调试多进程或者多线程应用
OSKernelLAB(gatieme)
10-22 1万+
CSDN GitHub [GDB 调试多进程或者多线程应用 ](http://blog.csdn.net/gatieme) | AderXCoding/system/tools/gdb/attach_on_fork |本作品采用知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议进行许可, 转载请注明出处, 谢谢合作因本人技术水平和知识面有限, 内容如有纰漏或者需要修正的地方,
x32dbg插件之KTracker 跟踪器/飘云阁wgz00
极速版 超精简 超级修改版 自动化编程 轻松破解 轻松修改 去后门 去升级 智能化 自动化
12-26 88
这个插件主要的功能是记录,所有走过的VA地址,call,JCC指令,把他们记录下来 便 于 活人再度分析,或用BC对比 前后两次被调试进程的结果。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值