通过 映像劫持 来调试程序

有些进程是通过其他程序自动启动的，这就给调试带来了困难，我们无法通过正常手段去载入od，或者附加的时候已经过了需要调试的时机，这个时候就需要映像劫持，方法如下：

修改注册表：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\

 

在  Image File Execution Options  上 右键 新建 - 项 

名称为你需要调试的进程名.exe

在新建的项里，右键 新建 字符串   名称为：debugger  值为 你的调试器路径地址

 

这样 当你需要调试的进程 在任何时候启动，都会直接附加到调试器里

 

360会驱动回调监控注册表改动，所以要开这个卸载360