2013年9月15日 星期日

[olly 使用筆記]- 觀察新跑起來的process

 

首先 找到你的Gflag (如果是win 7 可以直接 用global flag 找 start menu)

image

在image file 那一頁可以設default debugger

image

其實他做的事情就是去設一個registry

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\calc.exe]
"Debugger"="\"C:\\Program Files\\Debugging Tools for Windows (x64)\\windbg.exe\""

手動設也是可以(如果沒有裝debugging tool)

 

***這個作法對於injection 的malware 需另外調整, 請看下一篇文章***

沒有留言: