新人求助，windbg双机调试怎么让R3的进程创建中断-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (8)
放学打我不雪币： 4006 活跃值： (726) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 87 粉丝 16 关注私信	放学打我不 1 2 楼 bp nt!NtCreateProcessEx 2019-12-14 02:29 0
helloDalao 雪币： 338 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 28 粉丝 2 关注私信	helloDalao 3 楼放学打我不 bp nt!NtCreateProcessEx 大佬这个只能暂停所有的新建进程吧，如果想暂停指定名字的进程怎么操作呢？ 2019-12-14 15:07 0
不吃麻婆豆腐雪币： 2055 活跃值： (486) 能力值： ( LV3，RANK：30 ) 在线值：发帖 9 回帖 69 粉丝 13 关注私信	不吃麻婆豆腐 4 楼挂个Process回调然后判断进程名DbgBreakPoint 2019-12-14 15:23 0
helloDalao 雪币： 338 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 28 粉丝 2 关注私信	helloDalao 5 楼不吃麻婆豆腐挂个Process回调然后判断进程名DbgBreakPoint 我是想监视新建进程是否被远程注入，跟书上展示的一样刚好断在非法模块的nt!NtCreateThread上，然而书上并没有说明怎么断下来的，求指教是否能做到？ 2019-12-14 15:57 0
helloDalao 雪币： 338 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 28 粉丝 2 关注私信	helloDalao 6 楼不吃麻婆豆腐挂个Process回调然后判断进程名DbgBreakPoint 并不是直接bp nt!NtCreateThread，这样导致全部线程都断下，系统基本都在创建新线程，有没有办法断下指定进程的nt!NtCreateThread 2019-12-14 16:03 0
放学打我不雪币： 4006 活跃值： (726) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 87 粉丝 16 关注私信	放学打我不 1 7 楼 .process /p eprocess 然后bp /p eprocess ntdll!NtCreateThread 2019-12-14 16:54 0
放学打我不雪币： 4006 活跃值： (726) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 87 粉丝 16 关注私信	放学打我不 1 8 楼远程线程？那就自己看吧这是线程创建流程 CreateThread(包括远程线程)->ntdll!NtCreateThread(Ex)->内核设置上下文->回到被创建线程对应进程上下文ntdll!LdrInitializeThunk->ntdll!LdrpInitialize->ntdll!->ntdll!_LdrpInitialize->ntdll!LdrpInitializeThread->如果exe有Tls call LdrpCallTlsInitializers(2, LdrpImageEntry)没有忽略->ntdll!LdrpCallInitRoutine通知其它dll线程创建->ZwContrine->内核恢复上下文重设新线程入口点为ntdll!RtlUserThreadStart 然后线程就跑起来了 ntdll!RtlUserThreadStart->kernel32!BaseThreadInitThunk->call UserThreadEntry->ntdll!RtlExitUserThread->ntdll!ZwTerminateThread 2019-12-14 17:10 0
helloDalao 雪币： 338 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 28 粉丝 2 关注私信	helloDalao 9 楼放学打我不远程线程？那就自己看吧这是线程创建流程 CreateThread(包括远程线程)->ntdll!NtCreateThread(Ex)->内核设置上下文->回到被创建线程对应进 ... 非常感谢了 2019-12-14 21:40 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (8)
放学打我不雪币： 4006 活跃值： (726) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 87 粉丝 16 关注私信	放学打我不 1 2 楼 bp nt!NtCreateProcessEx 2019-12-14 02:29 0
helloDalao 雪币： 338 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 28 粉丝 2 关注私信	helloDalao 3 楼放学打我不 bp nt!NtCreateProcessEx 大佬这个只能暂停所有的新建进程吧，如果想暂停指定名字的进程怎么操作呢？ 2019-12-14 15:07 0
不吃麻婆豆腐雪币： 2055 活跃值： (486) 能力值： ( LV3，RANK：30 ) 在线值：发帖 9 回帖 69 粉丝 13 关注私信	不吃麻婆豆腐 4 楼挂个Process回调然后判断进程名DbgBreakPoint 2019-12-14 15:23 0
helloDalao 雪币： 338 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 28 粉丝 2 关注私信	helloDalao 5 楼不吃麻婆豆腐挂个Process回调然后判断进程名DbgBreakPoint 我是想监视新建进程是否被远程注入，跟书上展示的一样刚好断在非法模块的nt!NtCreateThread上，然而书上并没有说明怎么断下来的，求指教是否能做到？ 2019-12-14 15:57 0
helloDalao 雪币： 338 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 28 粉丝 2 关注私信	helloDalao 6 楼不吃麻婆豆腐挂个Process回调然后判断进程名DbgBreakPoint 并不是直接bp nt!NtCreateThread，这样导致全部线程都断下，系统基本都在创建新线程，有没有办法断下指定进程的nt!NtCreateThread 2019-12-14 16:03 0
放学打我不雪币： 4006 活跃值： (726) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 87 粉丝 16 关注私信	放学打我不 1 7 楼 .process /p eprocess 然后bp /p eprocess ntdll!NtCreateThread 2019-12-14 16:54 0
放学打我不雪币： 4006 活跃值： (726) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 87 粉丝 16 关注私信	放学打我不 1 8 楼远程线程？那就自己看吧这是线程创建流程 CreateThread(包括远程线程)->ntdll!NtCreateThread(Ex)->内核设置上下文->回到被创建线程对应进程上下文ntdll!LdrInitializeThunk->ntdll!LdrpInitialize->ntdll!->ntdll!_LdrpInitialize->ntdll!LdrpInitializeThread->如果exe有Tls call LdrpCallTlsInitializers(2, LdrpImageEntry)没有忽略->ntdll!LdrpCallInitRoutine通知其它dll线程创建->ZwContrine->内核恢复上下文重设新线程入口点为ntdll!RtlUserThreadStart 然后线程就跑起来了 ntdll!RtlUserThreadStart->kernel32!BaseThreadInitThunk->call UserThreadEntry->ntdll!RtlExitUserThread->ntdll!ZwTerminateThread 2019-12-14 17:10 0
helloDalao 雪币： 338 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 28 粉丝 2 关注私信	helloDalao 9 楼放学打我不远程线程？那就自己看吧这是线程创建流程 CreateThread(包括远程线程)->ntdll!NtCreateThread(Ex)->内核设置上下文->回到被创建线程对应进 ... 非常感谢了 2019-12-14 21:40 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复