Lors de l'analyse de logiciels malveillants, je rencontre des packers qui injectent le code malveillant réel dans un processus nouvellement créé et l'exécutent de cette façon. Pour cela, ils créent un processus en état suspendu, injectent le code et le reprennent en utilisant ntdll.NtResumeThread
sous Windows.
Je voudrais m'attacher au processus suspendu après l'injection est fait, pour vider la mémoire et obtenir le binaire décompressé. Pour cela, je m'arrête à ntdll.NtResumeThread
. En utilisant Olly 2, je peux m'attacher au processus suspendu.
Mon problème est maintenant que cela semble reprendre le processus. Ce serait bien s'il se cassait au point d'entrée. Mais ce n'est pas le cas. Olly ne rompt pas tant que le processus auquel je me suis attaché n'est pas terminé. Oui, je peux alors vider la mémoire. Mais seulement s'il n'a pas été modifié par le malware. De plus, je ne veux pas du tout que le code du malware s'exécute pendant le déballage.
Alors, y a-t-il un moyen de faire casser Olly (de manière fiable) au point d'entrée du nouveau processus?
Merci d'avance!