应急响应中分析64位恶意dll的小故事
2018年9月30日 - 网易
所以我自己用VS2010写了一个x64的exe使用loadlibrary来加载这个恶意dll。用x64dbg来调试该exe,在dll被load后,可在内存模块中找到这个dll,并在dll中搜索跨模块调用函数,在线程地址处下硬件断点,即可成功跳入线程中调试。同时,可以搜索当前模块中的所有字符串,来找到其记录的路径。或者调试下CreateFile也可以。该路...
详情
所以我自己用VS2010写了一个x64的exe使用loadlibrary来加载这个恶意dll。用x64dbg来调试该exe,在dll被load后,可在内存模块中找到这个dll,并在dll中搜索跨模块调用函数,在线程地址处下硬件断点,即可成功跳入线程中调试。同时,可以搜索当前模块中的所有字符串,来找到其记录的路径。或者调试下CreateFile也可以。该路...