Запуск сервиса

Jaa

Постоянный
Мудрец
Сообщения
93
Реакции
274
Всем привет. Есть проблема с файлом сервисом, при запуске сразу завершается, то что в логе пишет я нашел, поставил бряки но там почему то не останавливается, как подлезть к такому файлу? Файл чуть позже выложу. Чем можно посмотреть где и как используется строка ошибки?
 
Последнее редактирование:

Jaa

Постоянный
Мудрец
Сообщения
93
Реакции
274
Имеется в виду как в отладчике запустить сервис чтобы отладить его сразу на запуске?
 

mak

Соломенные сандалии
Администратор
Сообщения
803
Реакции
576
Привет,

Debug a windows service entry without windbg
I'll post my own answer here so I can find this again in the future.
  1. Using CFF Explorer open the service binary.
  2. Find the AddressOfEntryPoint in the Optional Header.
  3. Find the .text entry in Section Headers.
  4. Calculate raw_offset = raw_address - virtual_address + AddressOfEntryPoint.
  5. Within the built-in hex editor, navigate to raw_address.
  6. Change the two bytes there to EB FE.
  7. Save and exit.
  8. Modify HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ServicesPipeTimeout to 0xFFFFFFFF (requires reboot).
  9. Replace service with patched version and start (its status should become 'starting').
  10. In x64dbg check Enable Debug Privilege, restart x64dbg.
  11. Attach to the service.
  12. Replace the EB FE bytes with their original values.
  13. The entry point can now be debugged.
Other notes - x64dbg will not stop at the entry point of a running service. Use the command :EntryPoint to display its address and scroll into view.
https://reverseengineering.stackexc.../debug-a-windows-service-entry-without-windbg

Debugging Windows Services For Malware Analysis / Reverse Engineering
https://secrary.com/Random/WindowsServiceDebugging/

Debugging Windows Services
 

Jaa

Постоянный
Мудрец
Сообщения
93
Реакции
274
проблему решил, всем спасибо
 
Последнее редактирование:
Верх Низ