标签: debugging reverse-engineering malware
我正在分析一个特定的恶意软件样本,它似乎正在执行以下操作,以便写入explorer.exe的进程内存并执行代码: -
现在我想要做的是将调试器附加到explorer.exe中新创建的线程,并从其入口点开始调试它。那可能吗?
我怎么能这样做呢?
答案 0 :(得分:1)
您可以运行另一个调试器实例并将其附加到explorer.exe,然后在CreateRemoteThread参数中查找线程函数的地址,并在那里设置断点。
CreateRemoteThread