x64dbg调试恶意软件子进程出现的问题

fangsheng

本人刚接触病毒分析不久，最近调试一个恶意样本出现了一些问题
恶意软件的逻辑大概是 主进程tianqing.exe 生成了 子进程SGTool.exe和加密的shellcode，用SGTool.exe来解密



但是子进程SGTool.exe和tianqing.exe 好像是有关联的？不知道是参数还是啥其他关联

单独调试B的话程序跑不起来，所以就想在主进程tianqing.exe creatprocess之后用x64dbg附加B进程

但是这样附加之后 首先会有一部分程序已经跑完了，提前下断点也不起作用

而且附加了之后也无法单步调试子进程B，好像是已经跑飞了断不下来

尝试了使用dbgchild来调试子进程，会出现一些异常，没法正常调试


所以小弟想提几个问题
1.这样如何对子进程sgtool进行调试
2.sgtool.exe 后面的 2b2738e61cb141b9e2c74cccbde31b2125207909af1e2c0c7bc24fe7fc461f0df737402c64f8e6392e6c6f67 是什么用途
3.这个子进程sgtool的作用是不是用来解密2023-12-23文件的shellcode

病毒样本可在微步沙箱下载：https://s.threatbook.com/report/file/34d8969a381957b70bb7873f115407fbd1db892a0793548aecd4e6f8649e6941 解压密码threatbook
样本md5：5d9ed425ef124c16d5e5fd62ea1884d3

不要在真机运行样本！不要在真机运行样本！不要在真机运行样本！
真心求教，新手已经困住了好几天了，希望大神解答一二

fangsheng

补充一些图片

fangsheng

使用dbgchild 到creatprocess这步出现的报错

Hmily

把B的入口点代码改成JMP OEP地址，先死循环，然后启动附加后改成正常代码再调试，或者使用映像劫持试试。

冥界3大法王

Hmily 发表于 2023-12-25 12:16
把B的入口点代码改成JMP OEP地址，先死循环，然后启动附加后改成正常代码再调试，或者使用映像劫持试试。

和书里这段说得如出一辙。

Hmily

冥界3大法王 发表于 2023-12-26 16:46
和书里这段说得如出一辙。

啥书里说的，不要乱灌水，你不如帮楼主回复一些有用的信息。

冥界3大法王

Hmily 发表于 2023-12-26 16:54
啥书里说的，不要乱灌水，你不如帮楼主回复一些有用的信息。

《加密与解密 第四版 》802页