怎么找到在哪里调用了 ExitProcess 函数
使用IDA,找到了导入函数ExitProcess,也找到了该函数的地址,怎么找到是在哪里调用的?IDA找引用是X键。 厉害啊楼主 初次使用 IDA 我也想知道 怎么查哪些地方调用了该函数,一个个查好看着眼花。 x64dbg下断点? 一般来说都是动态调试吧!用OD或者x64dbg下断点调试,断下看堆栈就可以看见那个地址调用了 xiaoweng 发表于 2024-10-30 15:55
一般来说都是动态调试吧!用OD或者x64dbg下断点调试,断下看堆栈就可以看见那个地址调用了
注入的DLL,怎么调试??而且DLL的壳是VM的 Aerfa9527 发表于 2024-10-30 16:38
注入的DLL,怎么调试??而且DLL的壳是VM的
注入的DLL,那么试试看这一招(理论,尚未实战,可以试试看!),dll注入到了EXE那么就是共享进程内存了,也许调用系统API的时候,发起者可能会是exe,那么直接取出ExitProcessAPI地址,直接干掉,头部rent 或者leave rent(根据函数尾部的汇编代码而定)也可以在写一个劫持dll,劫持exe,里面HOOK,ExitProcess这个函数,不给它调用,这样一来也许还会有其他错误,比如某些作者的写法是,调用
ExitProcess
后续还有其他代码,如果这个ExitProcess不能正常执行(退出)就会执行以下代码!
所以光处理ExitProcess估计不太行,也有可能是没问题的!
ps:具体还需要实战才知道!很久没玩了,光靠脑子里面的微薄知识支撑{:301_993:} X键交叉引用 忍者比这个交叉引用好看多了,你点不到那行上都报错。。。
总得有个头吧?就跟你踢足球一个道理。。选位很重要。
页:
[1]