【发布时间】:2014-02-11 06:57:55
【问题描述】:
如果我的产品 MyApp.exe 正在由 OllyDbg(或任何其他调试器)调试,但该 exe 启动了另一个(例如 MakeSerial.exe); OllyDbg 也会开始调试新发布的 exe 吗?还是仅跟踪 MyApp.exe?谢谢。
【问题讨论】:
标签: debugging exe executable trace ollydbg
【发布时间】:2014-02-11 06:57:55
【问题描述】:
是的,最新版本的 OllyDbg 具有自动调试子进程的选项。
【讨论】:
-
问题,如果正在创建的进程带有CREATE_SUSPENDED标志(0x00000004),OllyDbg 2不会自动执行,会等到ResumeThread执行吗?
不,OllyDbg 不会自动调试子进程。
但是,您可以查找启动子进程的 CreateProcess 调用并编辑它的参数 dwCreationFlags 以包含标志 CREATE_SUSPENDED
(0x00000004)。然后,您可以从父进程中分离或打开一个新的 OllyDbg 实例以附加到子进程并恢复/调试它。
【讨论】:
-
谢谢大家;这两个答案都是有效的,并且显示了一种方法,所以我不知道该给谁打勾(我是新来的)......但我假设第一个回复。完成。
使用旧的 ollydbg(1.10 版)转到 openrce.org 并下载
Modified commandline plugin by anonymouse
点击alt+f1 并输入childdbg 1(日志窗口应显示已启用子窗口的调试)
现在ollydbg 1.10 也将能够捕获子进程
【讨论】: