相同的可执行文件以父进程运行和子进程运行表现出不同的行为特征。

工作原理

父进程创建子进程以挂起的方式，然后设置子进程的EIP。然后运行子进程。

我们来看一个示例：

#include <windows.h>
#include <tchar.h>
#include <stdio.h>


void ChildProc()
{
    MessageBox(NULL, L"This is a child process!", L"DebugMe2", MB_OK);

    ExitProcess(0);
}


void _tmain(int argc, TCHAR *argv[]) 
{
    TCHAR                   szPath[MAX_PATH] = {0,};
    STARTUPINFO				si = {sizeof(STARTUPINFO),};
    PROCESS_INFORMATION		pi = {0,};
    CONTEXT                 ctx = {0,};

    _tprintf(L"This is a parent process!\n");

    if( !GetModuleFileName(NULL, szPath, sizeof(TCHAR) * MAX_PATH) )
    {
        printf("GetModuleFileName() failed! [%d]\n", GetLastError());
        return;
    }

    // Create Child Process
    if( !CreateProcess(
            szPath,
            NULL,
            NULL,
            NULL,
            FALSE,
            CREATE_SUSPENDED,
            NULL,
            NULL,
            &si,
            &pi) )
    {
        printf("CreateProcess() failed! [%d]\n", GetLastError());
        return;
    }

    // Change EIP
    ctx.ContextFlags = CONTEXT_FULL;
    if( !GetThreadContext(pi.hThread, &ctx) )
    {
        printf("GetThreadContext() failed! [%d]\n", GetLastError());
        return;
    }

    ctx.Eip = (DWORD)ChildProc;

    if( !SetThreadContext(pi.hThread, &ctx) )
    {
        printf("SetThreadContext() failed! [%d]\n", GetLastError());
        return;
    }

    // Resume Main Thread
    if( -1 == ResumeThread(pi.hThread) )
    {
        printf("ResumeThread() failed! [%d]\n", GetLastError());
        return;
    }

    WaitForSingleObject(pi.hProcess, INFINITE);

    CloseHandle(pi.hProcess);
    CloseHandle(pi.hThread);
}

可以看到这个文件就是将创建一个子进程以挂起的模式。然后将一个函数地址设置为子进程的EIP，然后恢复子进程运行。

接下来我们做调试练习。

调试练习

在调试之前，我们大概要知道步骤。

我们先调试父进程查看子进程的起始地址。然后再子进程EP处设置无限循环。这里我们采用新的调试方法–JIT调试法。

JIT调试

运行进程发生异常时，OS自动运行指定调试器附加发生异常的进程。

Hexo

调试练习-自我创建篇

工作原理

调试练习

JIT调试