OD调试子进程

使用OD进行调试子进程，当一个进程创建了子进程后OD则无法跟踪（进程创建后，极短时间内执行完毕，关闭进程。没时间附加）。

可以使用此方式。

在创建进程前停下，找到子进程可执行文件，将其放入OD修改其入口指令为死循环，保存下来，如一条跳到自身的jmp指令。

第一步：在创建进程时停下，此时文件已经被创建，但是未调用

 

第二步： 找到文件，tmp文件是临时文件（我分析的病毒，解析出来的文件）同EXE文件，放入OD修改开始字节，将入口代码修改为跳转到自己

 

 

 

 

 

 第三步：运行创建进程代码（图片的进程名不一样，是因为失败了一次引以为戒。添加到最后）一定要在程序入口点改，将其改为JMP 到自身。

我的错误是，入口点是 CALL  XXXX  ,  JMP XXXXX

我进入了CALL  XXXX函数，修改它第一行汇编。（忘了函数的异常处理机制）

 

 

 附加后就会停在死循环指令处，也可能不会停在死循环处。而是其他地方。不要慌，直接跳转到程序入口点（修改JMP）的地方，下断点。F9运行断下。将入口点修改回去就可以了。