Сервис был запакован. Распаковал,пробую стартовать. Не стартует, пишет, что служба вернула код возврата 11. Скорее всего там проверка на распакованность. Как можно отлаживать службу в Оле?

| Сообщение посчитали полезным:

Запустив службу в ольке с параметрами, которые ей требуются, например /start. Для этого в меню Debug есть пункт Arguments

| Сообщение посчитали полезным:

Пробовал, посмотрел в настройках службы,что она запускается вот так:

AvcpService.exe /service

Но когда я из командной строки запускаю, у меня даже запакованная версия не стартует.

| Сообщение посчитали полезным:

по какой причине?

| Сообщение посчитали полезным:

А че за сервис? Дык если виндовский сервис. посори что значит сий код возврата...

-----
Researcher

| Сообщение посчитали полезным:

Ara
Я не знаю как сказать,просто я его запускаю из cmd.exe, и сразу возвращается управление в командную оболочку, причем в памяти процесса нет. Когда запускаю в Оле с параметром командной строки /service, то сервис просто выходит с кодом 0(как будто параметра /service нет, но он точно есть, я вижу как сервис получает командную строку)

overwriter
Сервис входит в состав взламываемой программы.

| Сообщение посчитали полезным:

Если стартую с помощью net start, то сервис(запакованный) нормально стартует.

При запуске из консоли с ключем /service(под Олей),перед выходом, запускается функция какая-то, и повляется статус ошибки:ERROR_FAILED_SERVICE_CONTROLLER_CONNECT (00000427)

А потом сервис выходит с кодом 0.

Может кого нибудь эта ошиба нолкнет на дельную мысль...

| Сообщение посчитали полезным:

tempread пишет:
При запуске из консоли с ключем /service(под Олей),перед выходом, запускается функция какая-то, и повляется статус ошибки:ERROR_FAILED_SERVICE_CONTROLLER_CONNECT (00000427)


MSDN

ERROR_FAILED_SERVICE_CONTROLLER_CONNECT Typically, this error indicates that the program is being run as a console application rather than as a service.
If the program will be run as a console application for debugging purposes, structure it such that service-specific code is not called when this error is returned.

-----
Security through obscurity is just an illusion

| Сообщение посчитали полезным:

tempread выпрос явно для поддтемы новичков, делай attach к процессу в Ольке.

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

Аттач явно не получится в чистом виде, сервис уже будет запущен. Кстати, как ты его распаковал без отладчика?

| Сообщение посчитали полезным:

Ara пишет: Аттач явно не получится в чистом виде
Ы? Кто сказал что не получится? Что бы это утверждать надо сначала попробовать.

Кстати, как ты его распаковал без отладчика?
Я так думаю чел заморачивается с аспром (а чем же еще службы паковать;) )

Пусть скажет как прога называеццо...

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

Maximus пишет:
Ы? Кто сказал что не получится? Что бы это утверждать надо сначала попробовать.
Зачем пробывать? Не надо и пробывать, чтобы утверждать, что аттачиться можно тока к запущенному процессу А нафик ему запущенный, если при запуске оно останавливается? А вот EB FE всадить на ЕР - это да, можно попробывать.

| Сообщение посчитали полезным:

Ara пишет:
Аттач явно не получится в чистом виде, сервис уже будет запущен.
Зато можно просмотреть командную строку (хотя это проще сделать с пом. Process Explorer'a).

| Сообщение посчитали полезным:

Короче пусть топегстартер выкладывает жертву, тогда можно смотреть из-за чего она не запускается.

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

Это сервис из этой темы:http://www.exelab.ru/f/action=vthread&forum=5&topic=9 749

Распакованный сервис запускается и работает. Когда я его попробовал перенести на другую машину, он там вылетавет по доступу к памяти. Pavka писал,что надо востановить секции криптора с непроинициализированными данными(в теме про екзекриптор). Только потом будет ругаться на екзешник, и его надо будет пофиксить. Я секции попробовал востановить...Ну и дальше создал эту тему.

Maximus
tempread выпрос явно для поддтемы новичков, делай attach к процессу в Ольке.

В вопросах для новичков я публикую темы, ответы на которые я даже приблизительно не знаю, соответственно не могу оценить сложность своего вопроса. А тут вопрос вроде про обычную вещь, вопрос не ламерский, чего ж его не постить в основном форуме?
По поводу attach - сервис пытается запустится несколько секунд, не успеваешь приаттачится

Ara
Распаковывал как обычный екзешник, только запускал и останавливал для получения импорта через net start и net stop.

Ara
А вот EB FE всадить на ЕР - это да, можно попробывать.
Сервис должен стартонуть за 30 секунд,а мне этого маловато будет для отладки...
http://msdn.microsoft.com/library/rus/default.asp?url=/library/RUS/vbc on/html/vbtskdebuggingserviceapplications.asp http://msdn.microsoft.com/library/rus/default.asp?url=/library/RUS/vbcon/html/vbtskdebuggingserviceapplications.asp

| Сообщение посчитали полезным:

tempread понятно, я писал что легче заинлайнить чем ловить гимор с распаковкой.
в крипторе проверки на распаковывание лечится RET на параметр CreateThread до EP...

Вот тема:
http://www.exelab.ru/f/action=vthread&topic=9585&forum=1&p age=-1

Про секции вот тутор киореска:
1. Настрой Olly (Options, Debugging options, Events, Make first pause at, System breakpoint) и отключи все Exceptions
2. Открой запакованный файл
3. Удали бряк на EP (Alt + B, Del)
4. Открой карту памяти (Alt + M)
5. Поставь бряк на запись в память секции poly3 (Правый щелчок на секции, Set memory breakpoint on write)
6. Запусти программу (Shift + F9) — остановишься на заполнении секции (rep movsb)
7. Снимаешь бряк на запись с секции (Alt + M, правый щелчок на секции, Remove memory breakpoint)
8. Возвращаешся в окно дизасма и переходишь в конец цикла заполнения (Alt + C, F4 на первой строке после jmp ...)
9. Заново ставишь бряк на запись в память
10. Shift + F9 — остановишься на исправлении адресов в секции (mov [esi], eax)
11. Снимаешь бряк
12. F4 на первую строку после jg ...

После этого дампь эту секцию и вставляй в распакованный файл

Вот тема:
http://www.exelab.ru/f/action=vthread&forum=1&topic=9454&p age=0

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

Эх, ПЕКилку бы сюда, он бы давно автораспаковщик криптора написал

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

Maximus
Раз уж начали говорить про дамп секций,задам вопрос: прочитав темы про дамп секций так и не понял толком одного - какие именно секции нужно дампить? Вот у меня такие секции:
00400000 00001000 AvcpServ PE header Imag R RWE
00401000 0000D000 AvcpServ .text code Imag R RWE
0040E000 00002000 AvcpServ 4sehfbye code Imag R RWE
00410000 00016000 AvcpServ .data code,data Imag R RWE
00426000 00001000 AvcpServ .rsrc code,resources Imag R RWE
00427000 00001000 AvcpServ 8bhmmo2m code Imag R RWE
00428000 0009A000 AvcpServ g.2spn18 code Imag R RWE
004C2000 0009A000 AvcpServ vnzrej3a SFX,imports Imag R RWE
0055C000 00001000 AvcpServ 2lrpgda1 Imag R RWE
И что нужно дампить?

| Сообщение посчитали полезным:

tempread
Может нужно под local system account его запускать вместе с олей?

| Сообщение посчитали полезным:

EXECryptor однако
И закрывается с кодом ERROR_BAD_FORMAT
Криво ты его распаковал

| Сообщение посчитали полезным:

Rouse_
Я указал ошибку, с которой закрывается ЗАПАКОВАННЫЙ сервис,если его запустить с консоли с ключем /service

| Сообщение посчитали полезным:

tempread, стесняюсь спросить, а что должна сделать консоль на вызов StartServiceCtrlDispatcher при нинициализации сервиса по валидному ключу запуска? Проэмулировать SCM? Почитайте хотя-бы основы работы сервисов...

| Сообщение посчитали полезным:

Дык чего обсуждать, причину вылетов уже выяснили.
tempread выложи сломанную службу которая работает на твоем компе, попробую помочь твоему горю (сдампить секции и вставить их в файло, и убить проверки CRC)

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

Maximus
Сколько не пытаюсь дампить посекционно,не получается запустить Но я не сдаюсь...
Вот сервис сразу после дампа и востановления импорта.
dump.ru/files/i/i493338179/

| Сообщение посчитали полезным:

Относительно названия темы...
Я отлаживаю сервис так:
Запускаю в Оле екзешник с нужным ключем(у меня это /service).Трассирую до функции StartServiceCtrlDispatcher.Смотрим описание:

BOOL StartServiceCtrlDispatcher(

LPSERVICE_TABLE_ENTRY lpServiceStartTable // address of service table
);

typedef struct _SERVICE_TABLE_ENTRY { // ste
LPTSTR lpServiceName;
LPSERVICE_MAIN_FUNCTION lpServiceProc; =================> пишем по этому указателю EB FE
} SERVICE_TABLE_ENTRY, *LPSERVICE_TABLE_ENTRY;

Ставим на функцию (по указателю LPSERVICE_MAIN_FUNCTION lpServiceProc) EB FE.

Запускаем сервис стандартным способом. Аттачимся Олей. Меняем EB FE на то,что там было. Начинаем заниматься отладкой

| Сообщение посчитали полезным:

Maximus
Давайте продолжим обсуждение отлома сервиса в моей теме про екзекриптор:
http://www.exelab.ru/f/action=vthread&forum=5&topic=9749

| Сообщение посчитали полезным:

tempread,

лови распакованные модули:

http://www.box.net/shared/bkusibo6gk http://www.box.net/shared/bkusibo6gk (7-Zip, 672 Кбайт)

Контрольные суммы архива:
SFV: 39DA2E1F
MD5: f2c74789257d0e95f155b72b2df29721

| Сообщение посчитали полезным:

kioresk
Работает!
Напишите,пожалуйста,все то,что считаете нужным знать,что бы в дальнейшем не спотыкаться на таких программах(или хотя бы что бы эту программу самостоятельно распаковать,имеется ввиду сервис).

| Сообщение посчитали полезным:

tempread kioresk просто восстановил ОЕП, и убрал секции execryptor'а
- правда так получится не на всех прогах.

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

А как определить какие секции принадлежат екзекриптору?

| Сообщение посчитали полезным: