새롭게 로딩된 프로세스를 디버깅하기 위해서는 레지스트리 키값을 생성 해주면 된다.
위 그림과 같이
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/
밑에 새롭게 로딩되는 프로세스 이름을 키값으로 생성하고 프로세스 이름키 안에 문자열값인 Debugger 값을 추가하고 데이터에 디버거의 절대 경로를 추가하면 된다.
밑에 새롭게 로딩되는 프로세스 이름을 키값으로 생성하고 프로세스 이름키 안에 문자열값인 Debugger 값을 추가하고 데이터에 디버거의 절대 경로를 추가하면 된다.
calc.exe를 실행 하면 ImmunityDebugger에 물리게된다.
0 개의 댓글:
댓글 쓰기