摘要:
利用CreateRemoteThread来注入通常是个细致工作,就好比穿针引线,尤其是在嵌入汇编后,这种针线活很容易出错利用以下断点:bp CsrNewThread可以在OD中调试注入后的代码,非常方便。不过以上方法有可能在调试中不完全奏效,具体原因我还没有详细分析。在以上方法失效时,我推倒用下面的更好的方法:如果在CreateRemoteThread时,使用了将本地代码复制到目标进程的方法,那么恭喜你,你可以利用VirtualAllocEx返回的目标进程启动函数地址在OD中快速定位到入口代码。其具体步骤为:使用OD打开目标进程利用VirtualAllocEx在目标进程中分配内存利用Wirte 阅读全文