[求助][求助]病毒文件调式中的问题[高手进来看看]-付费问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (3)
jmpjerryy 雪币： 339 活跃值： (29) 能力值： ( LV6，RANK：90 ) 在线值：发帖 5 回帖 122 粉丝 2 关注私信	jmpjerryy 2 2 楼个人意见仅供参考这算一种thread hijack, 这种方法是不需要调用createremotethread的。就像你说的提升权限，suspend打开一个进程，然后writeprocessmemory代码过去，然后调整EIP到这段代码。 OD attach，至少要等这个进程运行起来。要不就dump出write过去的代码然后自己分析 2009-6-26 17:57 0
avzz 雪币： 264 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 36 粉丝 0 关注私信	avzz 3 楼感谢，dump病毒写入进程的代码进行静态分析是一种方式，另外一种方式说要等进程起来，什么时候进程起来？难道是resumeThread的时候？ 2009-6-26 18:23 0
avzz 雪币： 264 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 36 粉丝 0 关注私信	avzz 4 楼还有就是我在writeprocess处dump出来的内容可读性很差，函数在ida中都没有办法标注。od无法动态调式 2009-6-27 09:40 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (3)
jmpjerryy 雪币： 339 活跃值： (29) 能力值： ( LV6，RANK：90 ) 在线值：发帖 5 回帖 122 粉丝 2 关注私信	jmpjerryy 2 2 楼个人意见仅供参考这算一种thread hijack, 这种方法是不需要调用createremotethread的。就像你说的提升权限，suspend打开一个进程，然后writeprocessmemory代码过去，然后调整EIP到这段代码。 OD attach，至少要等这个进程运行起来。要不就dump出write过去的代码然后自己分析 2009-6-26 17:57 0
avzz 雪币： 264 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 36 粉丝 0 关注私信	avzz 3 楼感谢，dump病毒写入进程的代码进行静态分析是一种方式，另外一种方式说要等进程起来，什么时候进程起来？难道是resumeThread的时候？ 2009-6-26 18:23 0
avzz 雪币： 264 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 36 粉丝 0 关注私信	avzz 4 楼还有就是我在writeprocess处dump出来的内容可读性很差，函数在ida中都没有办法标注。od无法动态调式 2009-6-27 09:40 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复