超级会员免费看
恶意服务调试与行为分析全解析
1. x64dbg与OllyDbg对比
在调试工具方面,x64dbg和OllyDbg各有特点:
| 对比项 | x64dbg | OllyDbg |
| — | — | — |
| 停止位置 | 默认在系统断点停止(初始化待调试应用的系统函数处) | 在入口点停止 |
| 对话框窗口 | 支持对话框窗口使用标签,在需同时使用多个十六进制转储窗口等场景很方便 | 无此特性 |
| 寄存器显示 | 显示更多寄存器,包括DR0 - 3、DR6和DR7调试寄存器 | 显示寄存器较少 |
| 内存映射窗口 | 显示的保护标志通常更准确 | 可能显示错误的保护标志 |
| 断点显示 | 在单个“断点”窗口显示所有类型的断点 | 将断点分为“视图 | 断点”和“调试 | 硬件断点”显示 |
| 调用DLL导出函数 | 无菜单选项,需手动操作 | 有相应操作方式 |
2. 理解Windows服务
Windows服务是在后台执行特定逻辑的任务,类似于Linux上的守护进程,常被恶意软件作者用于实现持久化。服务由服务控制管理器(SCM)控制,其实现位于 %SystemRoot%\System32\services.exe 。每个服务对应 HKLM\SYSTEM\CurrentControlSet\services\<service_name> 注册表项,包含以下重要值:
- ImagePath :对应可执行文件的文件路径,可包含可选参数。
-
订阅专栏 解锁全文
扫一扫
443
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
