Доброго дня.

Сторонний софт. Ставит свою службу. Нужна ему для работы. А еще в ней код для валидации ключа.
Вызывается проверка, только при старте службы. Никаких параметров запуска нет.
Служба не сетевая, локальная.

Есть идеи, как перехватить процесс старта, чтобы попасть в выполняемый код проверки ключа?

Погуглил ... Чего-то тухло ...

| Сообщение посчитали полезным:

в коде (старта) поставить jmp -2 (зациклить ее) , потом приатачится дебагеров.. востановить оригинальный код.. и дебажить

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным: screen66

--> Link <--

| Сообщение посчитали полезным:

Вариант с EBFE хорош (и как я о нем забыл. ведь лет десять-двенадцать назад сам это в айсе использовал).
Но на самой проверке вешает намертво машину. Только перезагруз.

image file execution options

А вот это я чего-то недопонял. И как оно работает?

| Сообщение посчитали полезным:

https://support.microsoft.com/en-us/kb/238788

| Сообщение посчитали полезным:

Все. дошло ...
Не запускает все-равно. Палит по ходу Debugger
Стоит ключ с реестра убрать - стартует.

| Сообщение посчитали полезным:

Служба должна уведомить систему, что она удачно запустилась. На это даётся ограниченно времени. После уведомления можно дебажить службу как хотите.

Добавлено спустя 2 минуты
Это к тому, что через Image File Execution Options можно прицепиться дебаггером к службе, но нужно её отпустить до вызова функции уведомления. Это немногое из того, что запомнил про службы.

-----
IZ.RU

| Сообщение посчитали полезным:

Ну насколько я понял, в дебаггер я же должен попасть, и остановится на точке входа. А такого нет. Тупо наблюдаем, что пытается служба запуститься, а потом видим ошибку и все ...

Ошибка 1053: Служба не ответила на запрос своевременно.

| Сообщение посчитали полезным:

maddmaks ну можно ж не ОЕР запуске.. а на функе проверки лицухи джамп вкатить.. и если я правильно помню. там както таймаут ответа службы можно увеличить.. как раз так.. чтоб успеть дебагером прицепится

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control]
"ServicesPipeTimeout"=dword:000xxxx

| Сообщение посчитали полезным: Gideon Vi, VodoleY

А я же написал. Не на OEP - вешает намертво ...
С таймаутом попробую ...

| Сообщение посчитали полезным:

maddmaks пишет:
А я же написал. Не на OEP - вешает намертво ..
Служба случайно не с TLS Callback?

-----
IZ.RU

| Сообщение посчитали полезным:

DenCoder
Затрудняюсь ответить. Не очень силен. Подскажите, как узнать - скажу.

Почитал ....
Вроде нет.

| Сообщение посчитали полезным:

Необходимый признак, что используется TLS - по смещению 0xC0 от сигнатуры PE в хидере 8 ненулевых байт.

Первые 4 байта - rva структуры


Признак, что используется tls callback - AddressOfCallBacks не нуль.

-----
IZ.RU

| Сообщение посчитали полезным:

Нет. Там пусто. 00 00 00 00

Теперь еще по EBFE на точке входа не останавливается.
И палит все int3 (падает с EXCEPTION). Думаю, что и правленое OEP палит.
BPM вроде нет. Вот блин головняк ...

| Сообщение посчитали полезным:

Служба представляет exe? Какие-то dll с ней в комплекте есть? Может, в них дело?

-----
IZ.RU

| Сообщение посчитали полезным:

Служба - ехе.
Длл есть. Может и в ней. Пока не разобрался.

| Сообщение посчитали полезным:

DenCoder пишет:
Необходимый признак, что используется TLS - по смещению 0xC0 от сигнатуры PE в хидере 8 ненулевых байт.

Можно проверить в HIEW или --> тулзой <--



| Сообщение посчитали полезным:

Проверка не в самой службе, а в длл.
Ставлю прыжок на себя, в начале процедуры проверки и пока шаманю, та же шляпа - Служба не ответила на запрос своевременно.

То есть он по ходу проверяет регистрацию сначала, а уже потом сообщает ответ винде. Попробую еще увеличить таймаут.

Добавлено спустя 3 минуты
dosprog
Спасибо. Пригодится. Но я не ошибся - File don't have TLS table.

| Сообщение посчитали полезным:

Антидебаг в одной из dll можно обойти, если выполнить трюк с лоадером.
Лоадер цепляется к службе по тому же принципу - через Image File Execution Options. Цель лоадера - внедрить немного кода, чтобы перехватить SetServiceStatus на установке dwCurrentState = SERVICE_RUNNING в структуре SERVICE_STATUS. Так служба уведомляет, что сервис запущен и работает нормально. Если это происходит, то по выходу из SetServiceStatus вызвать MessageBox для того, чтоб приаттачиться дебаггером.

Трюк требует определённых знаний и навыков.

Добавлено спустя 2 минуты
Но если проверка лицензии происходит единожды и в одной из dll на этапе её инициализации, то тогда её можно подгрузить к своему exe, который и дебажить.

-----
IZ.RU

| Сообщение посчитали полезным:

ну все по ходу чуть-чуть проще. Антидебаг, не знаю, есть или нет, но вот проверка на изменения (по цифровой подписи) у него явная.
Внедрить чуток кода интересная идея. Я вот только совсем про сервисы не бум-бум. Не доводилось еще с ними работать. Этот вот впервые.

Можно как-то заставить его грузится в фиксированное адресное пространство? Указать четкий адрес.
Наполовину бы решило проблему без написания лоадера.

| Сообщение посчитали полезным:

maddmaks пишет:
Вариант с EBFE хорош (и как я о нем забыл. ведь лет десять-двенадцать назад сам это в айсе использовал).
Но на самой проверке вешает намертво машину. Только перезагруз
попытайте щастья на вмваре. в довесок можно поставить Process Lasso.

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

а ТС не хотел бы кодес показать или дллку защиты?

-----
...или ты работаешь хорошо, или ты работаешь много...

| Сообщение посчитали полезным:

Господа. Часть поборол. Все решилось просто патчем WinVerifyTrust.
Осталась одна проблема... на EBFE ужасно грузит проц, что аж мышь залипает на 5-8 секунд.
Где ему приоритет выставить на самый низкий? Что-то не могу найти в морде управления службами.
Может параметр какой в реестре?

Не могу даже попытаться сделать это в Process Explorer. Настолько сильно залипает система.

| Сообщение посчитали полезным:

maddmaks пишет:
на EBFE ужасно грузит проц, что аж мышь залипает на 5-8 секунд.
Можете вставить код


Чуть больше байт - 9, но восстановите.

-----
IZ.RU

| Сообщение посчитали полезным:

BfoX

Это было бы просто, тут вся суть в гадании, у кого хрустальный шар крупнее

зы: инфект как есчо один велосипед.

-----
vx

| Сообщение посчитали полезным:

difexacaw
Ну это не совсем так ...

Добавлено спустя 1 минуту
70d6_10.10.2016_EXELAB.rU.tgz - EXE.rar
хттп://rgho.st/85bll77Hn - DLL

Добавлено спустя 8 минут
DenCoder
Спасибо. Возьму на заметку ...

| Сообщение посчитали полезным:

maddmaks пишет:
EBFE ужасно грузит проц, что аж мышь залипает на 5-8 секунд.

maddmaks пишет:
DenCoder
Спасибо. Возьму на заметку ..
не нужно

есть int3

| Сообщение посчитали полезным:

что-то сдается мне что тут коммунити решает эту --> задачу <--

Есть еще какой-то сервис по адресу: C:\Program Files\ForwardT Software\SLTMSrvs\FDExtSrvs.exe видимо она проверяет вторую часть лицензии.


или я ошибаюсь

CompanyName : SoftLab-Nsk
FileDescription : FDExt Boards Manager
LegalCopyright : (c) 2010 SoftLab-Nsk. All rights reserved.

зы: в дллке апи hasp/hardlock прилинкованы

-----
...или ты работаешь хорошо, или ты работаешь много...

| Сообщение посчитали полезным:

BfoX
Не ошибаетесь.
Задача эта.
Но начальный вопрос в другом.

Добавлено спустя 11 часов 17 минут
Объясните мне кто-нибудь волшебство ....
Зацикливаю сервис на точке входа.
Запускаю ...
Присоединяюсь отладчиком.
И все ...

Никакие бряки не срабатывают. Повесели чуток - и "служба не отвечает". Завершились ...
Раз служба не отвечает, значит висит в цикле. Раз висит в цикле, как я не могу остановится внутри этого цикла?

| Сообщение посчитали полезным: