Debug Blocker는 자기 자신을 자식프로세스로 생성하되 디버깅 모드로 실행하여 자식프로세스에서 여러가지 예외를 발생시켜 그걸로 실행 분기를 바꾸는 방식으로 디버깅을 어렵게 하는 것이다.
이런 것을 디버깅 하기 위해서는
먼저, 부모 프로세스를 작동했을 때 어떤 동작을 하는지 파악한다. 그 다음에는 1번이나 2번 둘 중 하나를 택해 디버깅한다.
1. 복호화 루틴과 같은 것이 있을 시 자식 프로세스에서 코드 패치가 이용하여 디버깅
2 - 1. 부모 프로세스를 디버깅하다가 적당한 시점에 자식 프로세스에 무한 반복되는 코드를 삽입한다.
2 - 2. 그런 뒤 부모 프로세스에서 자식 프로세스 디버깅을 중지하게 한다.
2 - 3. 디버거를 자식 프로세스에 attach 한다.
'윈도우' 카테고리의 다른 글
| WOW64 (0) | 2020.01.21 |
|---|---|
| 악성코드 분석 도구 모음 (0) | 2019.12.08 |
| PE IMAGE SWITCHING (0) | 2019.11.06 |
| 자기 자신을 자식 프로세스를 생성시키는 프로그램 디버그 (0) | 2019.11.04 |
| Service Process 디버깅 (0) | 2019.11.04 |