Intel Pin:使用 Pin API 附加到现有进程
Intel Pin: Attaching to an existing process using the Pin API
我正在对 Intel Pin 做一些研究。我正在寻找是否有一种方法可以使用 Pin API.
将 Pin 工具附加到现有流程
我可以看到有一种方法可以使用 pin.exe -pid <process_id> 在已经 运行 的进程上 运行 pin 可执行文件,但我在 pin documentation 中看不到任何内容.
编辑:根据之前的评论,我正在用一个例子更新问题。
我要解决的问题是对注入的进程进行检测(这是为了恶意软件分析)。
如果我正在检测的 process/binary 创建了一个子进程,那么 pin 可以无缝地将其自身附加到所述子进程。精彩!
但是,如果我正在检测的二进制 process/binary 注入另一个进程(即 OpenProcess > VirtualAllocEx > WriteProcessMemory > CreateRemoteThread)那么 Pin 将不会附加到注入的进程。我需要能够告诉 pin 在运行时动态附加。
您必须自己实现类似的东西 - 检测系统调用,如果您看到注入模式,请将 pin 附加到进程。
我正在对 Intel Pin 做一些研究。我正在寻找是否有一种方法可以使用 Pin API.
将 Pin 工具附加到现有流程我可以看到有一种方法可以使用 pin.exe -pid <process_id> 在已经 运行 的进程上 运行 pin 可执行文件,但我在 pin documentation 中看不到任何内容.
编辑:根据之前的评论,我正在用一个例子更新问题。
我要解决的问题是对注入的进程进行检测(这是为了恶意软件分析)。
如果我正在检测的 process/binary 创建了一个子进程,那么 pin 可以无缝地将其自身附加到所述子进程。精彩!
但是,如果我正在检测的二进制 process/binary 注入另一个进程(即 OpenProcess > VirtualAllocEx > WriteProcessMemory > CreateRemoteThread)那么 Pin 将不会附加到注入的进程。我需要能够告诉 pin 在运行时动态附加。
您必须自己实现类似的东西 - 检测系统调用,如果您看到注入模式,请将 pin 附加到进程。