使用OD进行调试子进程,当一个进程创建了子进程后OD则无法跟踪(进程创建后,极短时间内执行完毕,关闭进程。没时间附加)。
可以使用此方式。
在创建进程前停下,找到子进程可执行文件,将其放入OD修改其入口指令为死循环,保存下来,如一条跳到自身的jmp指令。
第一步:在创建进程时停下,此时文件已经被创建,但是未调用
第二步: 找到文件,tmp文件是临时文件(我分析的病毒,解析出来的文件)同EXE文件,放入OD修改开始字节,将入口代码修改为跳转到自己
第三步:运行创建进程代码(图片的进程名不一样,是因为失败了一次引以为戒。添加到最后)一定要在程序入口点改,将其改为JMP 到自身。
我的错误是,入口点是 CALL XXXX , JMP XXXXX
我进入了CALL XXXX函数,修改它第一行汇编。(忘了函数的异常处理机制)
附加后就会停在死循环指令处,也可能不会停在死循环处。而是其他地方。不要慌,直接跳转到程序入口点(修改JMP)的地方,下断点。F9运行断下。将入口点修改回去就可以了。
标签:创建,JMP,OD,入口,修改,进程,调试 From: https://www.cnblogs.com/mumu333/p/16717778.html