새롭게 특정 악성 코드 샘플을 분석하는 원격 스레드에게

Question

임을 만들어 디버깅과 코드 Explorer.exe에서의 프로세스 메모리에 작성하고 실행 도착하기 위해 다음과 같은 일을 할 것 같다 : - 탐색기에 (

1. OpenProcess에를 .exe)을
2. NtAllocateVirtualMemory
3. NtWriteVirtualMemory
4. 하여 CloseHandle
5. 하는 CreateRemoteThread
6. WaitForSi ngleObject
7. GetExitCodeThread가는

지금 내가 무엇을하고자하는 것은 이후의 진입 점에서 explorer.exe를 디버깅을에 새로 만든 스레드에 디버거를 연결합니다. 그게 가능할까요?

어떻게하면 동일한 작업을 수행 할 수 있습니까?

Answer 1

디버거의 다른 인스턴스를 실행하여 exporer.exe에 연결 한 다음 CreateRemoteThread 매개 변수에서 스레드 함수의 주소를 확인하고 거기에 중단 점을 설정할 수 있습니다.