x64dbg调试恶意软件子进程出现的问题
本帖最后由 fangsheng 于 2023-12-23 17:32 编辑本人刚接触病毒分析不久,最近调试一个恶意样本出现了一些问题
恶意软件的逻辑大概是 主进程tianqing.exe 生成了 子进程SGTool.exe和加密的shellcode,用SGTool.exe来解密
但是子进程SGTool.exe和tianqing.exe 好像是有关联的?不知道是参数还是啥其他关联
单独调试B的话程序跑不起来,所以就想在主进程tianqing.exe creatprocess之后用x64dbg附加B进程
但是这样附加之后 首先会有一部分程序已经跑完了,提前下断点也不起作用
而且附加了之后也无法单步调试子进程B,好像是已经跑飞了断不下来
尝试了使用dbgchild来调试子进程,会出现一些异常,没法正常调试
所以小弟想提几个问题
1.这样如何对子进程sgtool进行调试
2.sgtool.exe 后面的 2b2738e61cb141b9e2c74cccbde31b2125207909af1e2c0c7bc24fe7fc461f0df737402c64f8e6392e6c6f67 是什么用途
3.这个子进程sgtool的作用是不是用来解密2023-12-23文件的shellcode
病毒样本可在微步沙箱下载:https://s.threatbook.com/report/file/34d8969a381957b70bb7873f115407fbd1db892a0793548aecd4e6f8649e6941 解压密码threatbook
样本md5:5d9ed425ef124c16d5e5fd62ea1884d3
不要在真机运行样本!不要在真机运行样本!不要在真机运行样本!
真心求教,新手已经困住了好几天了,希望大神解答一二{:1_909:}{:1_909:}{:1_909:}
本帖最后由 fangsheng 于 2023-12-23 17:31 编辑
补充一些图片
使用dbgchild 到creatprocess这步出现的报错
把B的入口点代码改成JMP OEP地址,先死循环,然后启动附加后改成正常代码再调试,或者使用映像劫持试试。 Hmily 发表于 2023-12-25 12:16
把B的入口点代码改成JMP OEP地址,先死循环,然后启动附加后改成正常代码再调试,或者使用映像劫持试试。
和书里这段说得如出一辙。 冥界3大法王 发表于 2023-12-26 16:46
和书里这段说得如出一辙。
啥书里说的,不要乱灌水,你不如帮楼主回复一些有用的信息。 Hmily 发表于 2023-12-26 16:54
啥书里说的,不要乱灌水,你不如帮楼主回复一些有用的信息。
《加密与解密 第四版 》802页
页:
[1]