怎么找到在哪里调用了 ExitProcess 函数

Aerfa9527 · 发表于 2024-10-30 14:54

使用IDA，找到了导入函数ExitProcess，也找到了该函数的地址，怎么找到是在哪里调用的？

redapple2015 · 发表于 2024-10-30 15:33

IDA找引用是X键。

EUE913 · 发表于 2024-10-30 15:31

厉害啊楼主

zhang120300 · 发表于 2024-10-30 15:34

初次使用 IDA 我也想知道怎么查哪些地方调用了该函数，一个个查好看着眼花。

洞见未来 · 发表于 2024-10-30 15:48

x64dbg下断点？

xiaoweng · 发表于 2024-10-30 15:55

一般来说都是动态调试吧！用OD或者x64dbg下断点调试，断下看堆栈就可以看见那个地址调用了

Aerfa9527 · 发表于 2024-10-30 16:38

xiaoweng 发表于 2024-10-30 15:55
一般来说都是动态调试吧！用OD或者x64dbg下断点调试，断下看堆栈就可以看见那个地址调用了

注入的DLL，怎么调试？？而且DLL的壳是VM的

xiaoweng · 发表于 2024-10-30 16:46

Aerfa9527 发表于 2024-10-30 16:38
注入的DLL，怎么调试？？而且DLL的壳是VM的

注入的DLL，那么试试看这一招（理论，尚未实战，可以试试看！），dll注入到了EXE那么就是共享进程内存了，也许调用系统API的时候，发起者可能会是exe，那么直接取出ExitProcessAPI地址，直接干掉，头部rent 或者leave rent（根据函数尾部的汇编代码而定）也可以在写一个劫持dll，劫持exe，里面HOOK，ExitProcess这个函数，不给它调用，这样一来也许还会有其他错误，比如某些作者的写法是，调用
ExitProcess
后续还有其他代码，如果这个ExitProcess不能正常执行（退出）就会执行以下代码！
所以光处理ExitProcess估计不太行，也有可能是没问题的！
ps：具体还需要实战才知道！很久没玩了，光靠脑子里面的微薄知识支撑

yaoguen · 发表于 2024-10-30 17:00

X键交叉引用

冥界3大法王 · 发表于 2024-10-30 21:15

忍者比这个交叉引用好看多了，你点不到那行上都报错。。。
总得有个头吧？就跟你踢足球一个道理。。选位很重要。

帐号		自动登录	找回密码
密码			注册[Register]

[讨论] 怎么找到在哪里调用了 ExitProcess 函数

免费评分