首页
社区
课程
招聘
[求助]关于逆向双进程问题
发表于: 2008-3-6 09:38 5951

[求助]关于逆向双进程问题

2008-3-6 09:38
5951


我刚刚入门,现在试着逆向一个Delphi程序.
我经过一段时间的研究,我认为,这个程序应该
是如下流程,它首先运行了一个主应用程序,做为主进程,
然后,在资源里释放出另一个应用程序,通过主进程开启,
然用WriteProcessMemory等等方法把子进程里的一些内存中的内容改变了.

我现在用OD跟踪这个程序,
我无法挂接子进程,

找了一些相关的资料,猜想也许是

10)自调试
  对于一个程序,Windows只允许这个程序被一个调试器调试,基于此,采用双进程或多进程方式,
自已调试自己,加大跟踪难度。另外,通过设置某中断地址,使程序发生某中断时执行程序中的中断
处理代码,进行解码、指令摘取等动作,加大跟踪难度。

我现在,想知道,我应该用什么方法,进行跟踪,
我想知道,他们互相通信的内容和地址.

如果有这方面的经验,请给一点建意

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 0
支持
分享
最新回复 (11)
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
QQ:228932960
2008-3-6 13:10
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3

用Windbg可以解释吗?
2008-3-6 15:39
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
其实,它的原理,我能猜到,
用OpenProcess打开那个资源进程,
然后用ReadProcessMemory
和WriteProcessMemory来读写一些内容.

我现在,就想知道,我用什么方法,可以看明白,它的读写内容,和地址.
同志们呀~~~~~~~~~~~~~~~~~~~~
2008-3-6 16:20
0
雪    币: 8209
活跃值: (4518)
能力值: ( LV15,RANK:2473 )
在线值:
发帖
回帖
粉丝
5
第2个参数是地址,第三个参数是内容,第四个参数是长度
2008-3-6 17:23
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
谢谢~~~~

我如何,能看到WriteProcessMemory执行后,在另一个进程内存的变化.
我想跟踪的时候,能跟踪主进程,同时,还能够跟踪子进程
2008-3-7 09:19
0
雪    币: 2290
活跃值: (20)
能力值: ( LV9,RANK:150 )
在线值:
发帖
回帖
粉丝
7
楼上已经说了,用Windbg
设.childdbg 1
2008-3-10 11:01
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
呵~~~~
问题是,很奇怪,
我在Windbg中根本没有看到另一个子进程.
然后,还有如上跟踪的代码.
我自己写了一个程序,在Windbg中可以看到子进程。

真是很奇怪。
我后来,又开始研究关于在内存中启动执行文件~~~~~
2008-3-11 14:51
0
雪    币: 134
活跃值: (157)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
在虚拟机中只能显示双进程中的一个进程的
2008-3-11 17:48
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
没明白,我现在没有使用虚拟机呀!

我现在用OD调试
报这个错


我现在用Windbg调试
报这个错


我现在就想知道,有什么工具可以跟进去
上传的附件:
2008-3-17 11:14
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
这么长时间,终于知道,这个程序用什么方法做的了.
Flage := DEBUG_PROCESS or DEBUG_ONLY_THIS_PROCESS;

CreateProcess(nil, Pchar('*.dat'), nil, nil,
    False, Flage, nil, nil, si, pi)

现在就是找工具可以调试自己的程序了
2008-3-19 09:17
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
结帖了~~~~~~~~~~~~~~~~
2008-3-19 09:18
0
游客
登录 | 注册 方可回帖
返回
//