

🦊Back to NiNi's Den

TIL::Windows Services Debug

🦊Back to NiNi's Den

TIL::Windows Services Debug

Reverse Windows

Word count: 274Reading time: 1 min

 2019/07/01  Share

• 
• 
• 

trace 了一隻很 G8 的程式，順手記錄一下在 windows 下，怎麼 attach 到一隻服務上面動態 debug。

在 windows 下可以在 HKLM\SYSTEM\CurrentControlSet\Services 註冊服務，之後可以使用指令 net start ServiceName 來啟動該服務。Microsoft 官方介紹了很多 Debug 方法，但是在 Vista 的版本之後，因為服務都被放進 session0，所以 Debug 基本上只能透過 remote 或是 kernel 控制的 usermode debugger。

安裝 Windows 官方 SDK 的 debug tool 後，透過 Global flag 來綁定程式啟動時自動 attach 的 Debugger ，設定成 cdb 讓 service 掛著，就可以從 WinDbg remote debug 該服務。

有些服務是把 ImagePath 設定成 %SYSTEMROOT%\System32\svchost.exe -k netsvcs -p，透過 svchost 載入 ServiceDll 來啟動服務，這時候我們 attach 到的會是 svchost.exe，要找到正確的入口點可以先在 dll 被載入時中斷：

sxe ld nameofdll.dll

同時因為 dll 一定有 Export 一個 ServiceMain 的 Entry 給 svchost 來執行，所以可以在 Entry 上面下斷點，就可以重頭開始 trace：

bm /a nameofdll!*

必讀資源：

• WinDbg Commands
• Debugging Malware with WinDbg
• Debugging Windows Services

Original Author: Terrynini

Original link: http://blog.terrynini.tw/tw/TIL-Windows-Services-Debug/

Publish at: July 1st 2019, 2:40:06

Copyright: This article is licensed under CC BY-NC 4.0

• Next Post
  程式安全::HW3 Write-up
• Previous Post
  2019::AIS3::前測官方解

Powered by Hexotheme Archer

CATALOG



• Archive
• Tag
• Cate

Total : 39

2023

• 08/222023::自由美利堅::上羚羊峽谷之旅

2022

• 09/122022::BalsnCTF::ProjectO Write-up

2021

• 11/232021::Flare-On 8::Write-up
• 05/292021::QEMU::AFL++ and TCG
• 02/172021::OSCP::回顧與分享

2020

• 10/222020::Flare-On 7::Write-up
• 09/252020::程式安全::HW0 Write-up
• 06/292020::AIS3::前測官方解
• 01/28TIL::AVX Base64

2019

• 12/18程式安全::HW4 Write-up
• 12/042019::Flare-On 6::Record
• 11/21程式安全::HW3 Write-up
• 07/01TIL::Windows Services Debug
• 06/162019::AIS3::前測官方解
• 05/012019::PlaidCTF
• 04/01TIL::攻擊LCG(線性同餘生成器)
• 03/272019::0CTF::Quals::Sanitize
• 03/17TIL::利用 Chakra JIT 繞過 DEP 和 CFG
• 03/172019::CONFidence
• 03/15TIL::FaceBook_GIF_memory_exposure
• 03/122019::PragyanCTF

2018

• 08/072018::Reversing.KR::Record
• 07/302018::RealWorldCTF::Qual
• 06/132018::AIS3::pre-exam
• 05/29OS::NachOS::HW1
• 05/042018::ASIS-Quals::reverse
• 05/022018::0CTF-Quals::g0g0g0
• 01/15Advance-Algorithm::homework5
• 01/15Advance-Algorithm::homework6
• 01/15Advance-Algorithm::homework7
• 01/15Advance-Algorithm::homework4

2017

• 12/182017::SECCON::Write-up
• 11/15Advance-Algorithm::homework3
• 11/15Advance-Algorithm::homework2
• 11/13Advance-Algorithm::homework1
• 11/072017::HITCON-Quals::Sakura::English
• 11/072017::HITCON-qual::Sakura
• 07/20Reversing.kr #1
• 07/15AIS3 pre-exam write up

CTF Reverse HITCON SECCON 0CTF ASIS RealWorldCTF Web CONFidence Flare-On Plaid Pragyan AFL++ QEMU Balsn Algorithm AIS3 Reversing-kr Cryptography Pwn Misc OSCP OS Base64 AVX FaceBook GIF Windows browser Chakra JIT Travel



缺失模块。
1、请确保node版本大于6.2
2、在博客根目录（注意不是archer根目录）执行以下命令：
npm i hexo-generator-json-content --save
3、在根目录_config.yml里添加配置：

jsonContent:
  meta: false
  pages: false
  posts:
    title: true
    date: true
    path: true
    text: false
    raw: false
    content: false
    slug: false
    updated: false
    comments: false
    link: false
    permalink: false
    excerpt: false
    categories: true
    tags: true

WriteUp Record Reminder Note TodayILearn

