跟踪一个exe调用另一个exe-付费问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (9)
wonghouleong 雪币： 3621 活跃值： (3198) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 35 粉丝 2 关注私信	wonghouleong 2 楼你这个是没办法实现的，只能开两个ollydbg调试 A.exe调试B.exe 通常是用命令行来传递数据进行初始化命令行参数拷一下，在另一个ollydbg以相同的参数运行B.exe B.exe运行后如果要和A.exe通讯，那么通常是读取文件方式或者是内存共享各下个断点就可以获取数据调试了 2021-12-2 09:36 0
TopC 雪币： 6977 活跃值： (1786) 能力值： ( LV3，RANK：30 ) 在线值：发帖 10 回帖 225 粉丝 10 关注私信	TopC 3 楼用gflag去设置，当B进程启动的时候，调试器自动附加 2021-12-2 09:38 0
chinarenjf 雪币： 7045 活跃值： (3990) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 229 粉丝 0 关注私信	chinarenjf (+100.00雪花) 4 楼在Ollydbg菜单下Option/Just-in-Time debugging中设置OD为即时调试器.将B.exe 的入口改为CC然后，记住原指令。此时直接运行A.exe其会调用B.exe，运行到INT3指令会异常，这时Ollydbg会启动，然后恢复原指令，继续调试就可以了。 2021-12-2 10:27 (+100.00雪花) 0
木志本柯雪币： 4715 活跃值： (4177) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 361 粉丝 4 关注私信	木志本柯 (+10.00雪花) 5 楼 jit不会每次都成功可以去到程序的入口点改一改jmp循环让eip一直在原地循环然后用调试器去附加 2021-12-2 10:36 (+10.00雪花) 0
aimhack 雪币： 423 活跃值： (501) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 80 粉丝 11 关注私信	aimhack 6 楼 A调用B一般通过命令行传参数,可以像B注入一个dll,获取B执行时的命令行参数,然后OD里面设置命令行启动B,就可以调试B了 //LPWSTR szArglist; //int nArgs; //int i; //FILE fp = fopen("D:\\debuglog.txt", "w"); //szArglist = CommandLineToArgvW(GetCommandLineW(), &nArgs); //if (szArglist == NULL) //{ // MessageBox(NULL,"failed","提示", MB_ICONERROR); //} //else //{ // for (i = 0; i < nArgs; i++) // { // fprintf(fp, "%ws", szArglist[i]); // } // LocalFree(szArglist); // fclose(fp); //} 拿到命令行后,在dbg或者OD里面直接复制参数启动B 最后于 2021-12-2 11:03 被aimhack编辑，原因： 2021-12-2 11:01 0
0346954 雪币： 3730 活跃值： (5881) 能力值： ( LV9，RANK：140 ) 在线值：发帖 11 回帖 75 粉丝 24 关注私信	0346954 2 (+90.00雪花) 7 楼之前调试word的公式编辑器程序，需要在EQNEDT32.EXE程序启动时挂到调试器上，使用如下方式要调试子进程，采用修改注册表的方式来调试EQNEDT32.EXE程序。需要设置注册表项： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\EQNEDT32.EXE，如果没有此项，就新建一个。设置如下：你这边可以新建一项名称为 B.EXE，设置一个Debugger，是字符串，然后输入od的路径即可 2021-12-2 17:23 (+90.00雪花) 0
mb_sinigoau 雪币： 3 能力值： ( LV1，RANK：0 ) 在线值：发帖 5 回帖 12 粉丝 1 关注私信	mb_sinigoau 8 楼 chinarenjf 在Ollydbg菜单下Option/Just-in-Time debugging中设置OD为即时调试器.将B.exe 的入口改为CC然后，记住原指令。此时直接运行A.exe其会调用B.exe，运行到I ... 启动了一个新的ollydbg窗口，但是显示"OllyDbg is unable to attach to process 0000204C as a "just in time" debugger" 2021-12-3 12:15 0
chinarenjf 雪币： 7045 活跃值： (3990) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 229 粉丝 0 关注私信	chinarenjf 9 楼是不是同时有两个调试器在调试B.EXE，检查下。 2021-12-4 10:02 0
mb_sinigoau 雪币： 3 能力值： ( LV1，RANK：0 ) 在线值：发帖 5 回帖 12 粉丝 1 关注私信	mb_sinigoau 10 楼用了chinarenjf和0346954的方法，可以了。谢谢大家了 2021-12-6 10:02 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (9)
wonghouleong 雪币： 3621 活跃值： (3198) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 35 粉丝 2 关注私信	wonghouleong 2 楼你这个是没办法实现的，只能开两个ollydbg调试 A.exe调试B.exe 通常是用命令行来传递数据进行初始化命令行参数拷一下，在另一个ollydbg以相同的参数运行B.exe B.exe运行后如果要和A.exe通讯，那么通常是读取文件方式或者是内存共享各下个断点就可以获取数据调试了 2021-12-2 09:36 0
TopC 雪币： 6977 活跃值： (1786) 能力值： ( LV3，RANK：30 ) 在线值：发帖 10 回帖 225 粉丝 10 关注私信	TopC 3 楼用gflag去设置，当B进程启动的时候，调试器自动附加 2021-12-2 09:38 0
chinarenjf 雪币： 7045 活跃值： (3990) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 229 粉丝 0 关注私信	chinarenjf (+100.00雪花) 4 楼在Ollydbg菜单下Option/Just-in-Time debugging中设置OD为即时调试器.将B.exe 的入口改为CC然后，记住原指令。此时直接运行A.exe其会调用B.exe，运行到INT3指令会异常，这时Ollydbg会启动，然后恢复原指令，继续调试就可以了。 2021-12-2 10:27 (+100.00雪花) 0
木志本柯雪币： 4715 活跃值： (4177) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 361 粉丝 4 关注私信	木志本柯 (+10.00雪花) 5 楼 jit不会每次都成功可以去到程序的入口点改一改jmp循环让eip一直在原地循环然后用调试器去附加 2021-12-2 10:36 (+10.00雪花) 0
aimhack 雪币： 423 活跃值： (501) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 80 粉丝 11 关注私信	aimhack 6 楼 A调用B一般通过命令行传参数,可以像B注入一个dll,获取B执行时的命令行参数,然后OD里面设置命令行启动B,就可以调试B了 //LPWSTR szArglist; //int nArgs; //int i; //FILE fp = fopen("D:\\debuglog.txt", "w"); //szArglist = CommandLineToArgvW(GetCommandLineW(), &nArgs); //if (szArglist == NULL) //{ // MessageBox(NULL,"failed","提示", MB_ICONERROR); //} //else //{ // for (i = 0; i < nArgs; i++) // { // fprintf(fp, "%ws", szArglist[i]); // } // LocalFree(szArglist); // fclose(fp); //} 拿到命令行后,在dbg或者OD里面直接复制参数启动B 最后于 2021-12-2 11:03 被aimhack编辑，原因： 2021-12-2 11:01 0
0346954 雪币： 3730 活跃值： (5881) 能力值： ( LV9，RANK：140 ) 在线值：发帖 11 回帖 75 粉丝 24 关注私信	0346954 2 (+90.00雪花) 7 楼之前调试word的公式编辑器程序，需要在EQNEDT32.EXE程序启动时挂到调试器上，使用如下方式要调试子进程，采用修改注册表的方式来调试EQNEDT32.EXE程序。需要设置注册表项： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\EQNEDT32.EXE，如果没有此项，就新建一个。设置如下：你这边可以新建一项名称为 B.EXE，设置一个Debugger，是字符串，然后输入od的路径即可 2021-12-2 17:23 (+90.00雪花) 0
mb_sinigoau 雪币： 3 能力值： ( LV1，RANK：0 ) 在线值：发帖 5 回帖 12 粉丝 1 关注私信	mb_sinigoau 8 楼 chinarenjf 在Ollydbg菜单下Option/Just-in-Time debugging中设置OD为即时调试器.将B.exe 的入口改为CC然后，记住原指令。此时直接运行A.exe其会调用B.exe，运行到I ... 启动了一个新的ollydbg窗口，但是显示"OllyDbg is unable to attach to process 0000204C as a "just in time" debugger" 2021-12-3 12:15 0
chinarenjf 雪币： 7045 活跃值： (3990) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 229 粉丝 0 关注私信	chinarenjf 9 楼是不是同时有两个调试器在调试B.EXE，检查下。 2021-12-4 10:02 0
mb_sinigoau 雪币： 3 能力值： ( LV1，RANK：0 ) 在线值：发帖 5 回帖 12 粉丝 1 关注私信	mb_sinigoau 10 楼用了chinarenjf和0346954的方法，可以了。谢谢大家了 2021-12-6 10:02 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[已解决] 跟踪一个exe调用另一个exe 200.00雪花