0

マルウェアによって注入されたコードをInternet Explorerにデバッグする必要があります。それ自体では、メインプロセスをデバッグできれば問題にはならないでしょう。問題は、デバッグ対策のためにデバッガ内部からマルウェアを実行できないことです(さらに、CreateRemoteThread経由でもNtQueueApcThread経由でも実行されません。それ自体はすでに面白いですし、それも私が把握したいものです)。注入されたスレッドのデバッグ

を注入プロセスにデバッガをアタッチする方法はありますか?私はOllyDbgを使って興味のあるスレッドを検出することができますが、それを実行して何が起こっているのかを理解するためにコードに付加することはできません。

あなたからの提案はありますか? あらかじめ高尚!

+0

これは、最も典型的には、あなたがその対策を無効にする方法を見つけることができるようにマルウェアのコードを分解する必要があります。もちろん、それにはおそらく対応策もあります。削除はより迅速です。 –

+0

Ollydbgを隠すための明白なプラグインを試す以外に、WinDbgのようなカーネルモードのデバッガを使うことができます。ほとんどのアンチ・デバッガ・コードはusermodeデバッガを検出するためのもので、マルウェアがカーネル・モード・デバッガを検出するために何らかのドライバをロードしているのではないかと疑います。 – pezcode

+0

マルウェアがドライバを使用していないことを確認することができます。また、antidebugトリックを削除することは、複数の暗号化レイヤとCRC(この場合はollyを隠すプラグインは残念ながら効果がありません)私はWinDbgで試してみる必要があります、それは動作するかもしれない、ありがとう。 – Slartibartfast

答えて

0

抗添付のトリックのいくつかはlisted hereです。彼らの中には対策も言及されているものもあります。 FWIW、私は最初の投稿(DbgUiRemoteBreakin上書きトリック)に記載されているプログラムにIDAを使って "Stop on debugging start"オプションを有効にしてアタッチすることができました。

それが解決しない場合、私はより多くの詳細をRE redditに投稿することをお勧めしたいです。

関連する問題