Sin depurador, pero una tonelada de hilos “DbgUiRemoteBreakin”

4

Noté que casi todos los procesos en ejecución en mi escritorio de Windows 7, ya sea explorer.exe, lsm.exe, winlogon.exe o firefox.exe tienen al menos 1 (generalmente 6+) del siguiente hilo: "ntdll.dll! DbgUiRemoteBreakin"

De lo que puedo recopilar, "ntdll! DbgUiRemoteBreakIn es utilizado por el depurador para ingresar en un proceso, y el depurador asume que la dirección local de DbgUiRemoteBreakIn coincide con la dirección remota de DbgUiRemoteBreakIn en el proceso de destino. Kernel32 es necesario para debe estar en la misma dirección base porque hay varias rutinas internas de kernel32 que, similares a ntdll! DbgUiRemoteBreakIn, se usan en la inyección de subprocesos de proceso cruzado ".

y, "la API DebugBreakProcess inyecta un hilo remoto en el espacio de direcciones del proceso de destino".

No uso ni tengo ningún tipo de software / programa de depuración que conozca, y los subprocesos están activos cuando no hay programas en ejecución, justo después de que se inicie la computadora.

Si entiendo correctamente, "ntdll.dll! DbgUiRemoteBreakin" son hilos remotos que se inyectan en la computadora. Eso no parece bueno.

Un ejemplo:

¿Alguna idea sobre cómo prevenirlo y / o averiguar por qué está sucediendo?

¡Gracias!

    
pregunta Noles 26.01.2018 - 00:29
fuente

1 respuesta

3

La primera explicación que me viene a la mente por haber "depurado" misteriosamente las aplicaciones es que estás infectado por algún tipo de malware que se inyecta en otros programas (de esta manera, el comportamiento malicioso parece provenir de estos programas normales) .

La forma de evitarlo sería, obviamente, eliminar dicho malware de su sistema. Lo difícil es identificarlo. ¿Miró las bibliotecas cargadas y procesos de inicio ?

    
respondido por el Ángel 26.01.2018 - 00:44
fuente

Lea otras preguntas en las etiquetas