[求助]注入explorer.exe进程dll调试方法-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (6)
ruoe 雪币： 13 活跃值： (26) 能力值： (RANK：10 ) 在线值：发帖 68 回帖 219 粉丝 1 关注私信	ruoe 2 楼线程注入 2014-12-13 18:49 0
Morgion 雪币： 608 活跃值： (703) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 649 粉丝 5 关注私信	Morgion 1 3 楼比较简单的办法：设置OD为实时调试器。在DLL的代码段找一个大于6字节的空隙，写入 int3 jmp EP 指令，修改DLL的入口点到你的软件断点的位置，然后用RemoteDll注入到进程，让调试器自动弹出来 2014-12-13 20:28 0
bAlex 雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 10 粉丝 0 关注私信	bAlex 4 楼好注意，但怎么启动一个新的Explorer进程呢，否则注入原来的Expolorer会导致僵死的。调试器可以重新打开一个新Explorer.exe，但这样会导致RemoteDll注入失败。 2014-12-14 22:14 0
HelloCrack 雪币： 225 活跃值： (377) 能力值： ( LV3，RANK：30 ) 在线值：发帖 24 回帖 211 粉丝 1 关注私信	HelloCrack 5 楼调试explorer比较笨，因为会把界面搞僵，要我就是注入到记事本里面调试。 2014-12-15 09:23 0
Hacksign 雪币： 2313 活跃值： (4379) 能力值： ( LV9，RANK：140 ) 在线值：发帖 34 回帖 113 粉丝 38 关注私信	Hacksign 2 6 楼首先,保持你的系统比较干净,explorer不要有太多的插件. 然后启动OD,设置OD窗口总在最前端显示.然后继续设置OD调试行为为'新模块中断'(在调试器设置里面). Attach Explorer.exe,这时候有可能中断下来,然后弹出模块窗口,看一下新加载的模块是不是你要调试的,不是的话继续F9. 2014-12-15 09:41 0
bAlex 雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 10 粉丝 0 关注私信	bAlex 7 楼已经通过immunity debugger + RemoteDll 实现了注入Explorer.exe进程Dll的调试，谢谢大家。具体步骤如下： 1.首先用immunity debugger打开一个新的explorer.exe 2.设置调试事件为"加载新模块中断"、 3.使用immunity debugger的API函数injectDll加载Dll到explorer.exe 4.F9运行，触发断点后，取消“加载新模块中断” 5.使用API函数getModule得到模块，使用setBreakpoint在模块入口点设置断点 6.运行，即可中断在入口点处 2014-12-15 10:11 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (6)
ruoe 雪币： 13 活跃值： (26) 能力值： (RANK：10 ) 在线值：发帖 68 回帖 219 粉丝 1 关注私信	ruoe 2 楼线程注入 2014-12-13 18:49 0
Morgion 雪币： 608 活跃值： (703) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 649 粉丝 5 关注私信	Morgion 1 3 楼比较简单的办法：设置OD为实时调试器。在DLL的代码段找一个大于6字节的空隙，写入 int3 jmp EP 指令，修改DLL的入口点到你的软件断点的位置，然后用RemoteDll注入到进程，让调试器自动弹出来 2014-12-13 20:28 0
bAlex 雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 10 粉丝 0 关注私信	bAlex 4 楼好注意，但怎么启动一个新的Explorer进程呢，否则注入原来的Expolorer会导致僵死的。调试器可以重新打开一个新Explorer.exe，但这样会导致RemoteDll注入失败。 2014-12-14 22:14 0
HelloCrack 雪币： 225 活跃值： (377) 能力值： ( LV3，RANK：30 ) 在线值：发帖 24 回帖 211 粉丝 1 关注私信	HelloCrack 5 楼调试explorer比较笨，因为会把界面搞僵，要我就是注入到记事本里面调试。 2014-12-15 09:23 0
Hacksign 雪币： 2313 活跃值： (4379) 能力值： ( LV9，RANK：140 ) 在线值：发帖 34 回帖 113 粉丝 38 关注私信	Hacksign 2 6 楼首先,保持你的系统比较干净,explorer不要有太多的插件. 然后启动OD,设置OD窗口总在最前端显示.然后继续设置OD调试行为为'新模块中断'(在调试器设置里面). Attach Explorer.exe,这时候有可能中断下来,然后弹出模块窗口,看一下新加载的模块是不是你要调试的,不是的话继续F9. 2014-12-15 09:41 0
bAlex 雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 10 粉丝 0 关注私信	bAlex 7 楼已经通过immunity debugger + RemoteDll 实现了注入Explorer.exe进程Dll的调试，谢谢大家。具体步骤如下： 1.首先用immunity debugger打开一个新的explorer.exe 2.设置调试事件为"加载新模块中断"、 3.使用immunity debugger的API函数injectDll加载Dll到explorer.exe 4.F9运行，触发断点后，取消“加载新模块中断” 5.使用API函数getModule得到模块，使用setBreakpoint在模块入口点设置断点 6.运行，即可中断在入口点处 2014-12-15 10:11 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复