[求助]A程序里启动B程序，如何跟踪B程序？-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (4)
Bughoho 雪币： 1946 活跃值： (238) 能力值： (RANK：330 ) 在线值：发帖 67 回帖 1191 粉丝 27 关注私信	Bughoho 8 2008-4-13 13:49 2 楼 0 调试A进程，bp CreateProcess
suolao 雪币： 109 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 36 粉丝 0 关注私信	suolao 2008-4-13 14:34 3 楼 0 0012F800 00000000 \|ModuleFileName = NULL 0012F804 0020ADE0 \|CommandLine = """F:\a\a.exe"" 158.211.214.36 20155 11001 12001 {126,63,126,98,50,102,73,63} b.exe 591438" 0012F808 00000000 \|pProcessSecurity = NULL 0012F80C 00000000 \|pThreadSecurity = NULL 0012F810 00000000 \|InheritHandles = FALSE 0012F814 00000000 \|CreationFlags = 0 0012F818 00000000 \|pEnvironment = NULL 0012F81C 00000000 \|CurrentDir = NULL 0012F820 0012F840 \|pStartupInfo = 0012F840 0012F824 0012F830 \pProcessInfo = 0012F830 断在这里,可是不太明白CommandLine参数的具体意思，一定要写程序调用API才能打开B程序吗？还是可以写个批处理打开B程序，如果想要跟踪B程序应该要怎么做？
kanxue 雪币： 29414 活跃值： (18625) 能力值： (RANK：350 ) 在线值：发帖 1826 回帖 15212 粉丝 485 关注私信	kanxue 8 2008-4-13 15:17 4 楼 0 我一般这样操作 http://bbs.pediy.com/showthread.php?t=31840 1.OD菜单，设置OD为即时调试器； 2.将B.exe的入口改成CC，即INT 3指令，同时记下原指令 3.运行A.exe，其调用B.exe，会导致异常，OD会自动启动加载B.exe，此时你将INT 3指令恢复原指令。 4.到这步，你己可以任意调试B.exe了(kanxue)
suolao 雪币： 109 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 36 粉丝 0 关注私信	suolao 2008-4-13 15:17 5 楼 0 谢谢大哥指导！
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (4)
Bughoho 雪币： 1946 活跃值： (238) 能力值： (RANK：330 ) 在线值：发帖 67 回帖 1191 粉丝 27 关注私信	Bughoho 8 2008-4-13 13:49 2 楼 0 调试A进程，bp CreateProcess
suolao 雪币： 109 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 36 粉丝 0 关注私信	suolao 2008-4-13 14:34 3 楼 0 0012F800 00000000 \|ModuleFileName = NULL 0012F804 0020ADE0 \|CommandLine = """F:\a\a.exe"" 158.211.214.36 20155 11001 12001 {126,63,126,98,50,102,73,63} b.exe 591438" 0012F808 00000000 \|pProcessSecurity = NULL 0012F80C 00000000 \|pThreadSecurity = NULL 0012F810 00000000 \|InheritHandles = FALSE 0012F814 00000000 \|CreationFlags = 0 0012F818 00000000 \|pEnvironment = NULL 0012F81C 00000000 \|CurrentDir = NULL 0012F820 0012F840 \|pStartupInfo = 0012F840 0012F824 0012F830 \pProcessInfo = 0012F830 断在这里,可是不太明白CommandLine参数的具体意思，一定要写程序调用API才能打开B程序吗？还是可以写个批处理打开B程序，如果想要跟踪B程序应该要怎么做？
kanxue 雪币： 29414 活跃值： (18625) 能力值： (RANK：350 ) 在线值：发帖 1826 回帖 15212 粉丝 485 关注私信	kanxue 8 2008-4-13 15:17 4 楼 0 我一般这样操作 http://bbs.pediy.com/showthread.php?t=31840 1.OD菜单，设置OD为即时调试器； 2.将B.exe的入口改成CC，即INT 3指令，同时记下原指令 3.运行A.exe，其调用B.exe，会导致异常，OD会自动启动加载B.exe，此时你将INT 3指令恢复原指令。 4.到这步，你己可以任意调试B.exe了(kanxue)
suolao 雪币： 109 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 36 粉丝 0 关注私信	suolao 2008-4-13 15:17 5 楼 0 谢谢大哥指导！
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复