Spørsmål:
Feilsøking av skadelig programvare som bare kjører som en tjeneste
RcketCalf
2013-05-08 02:04:44 UTC
view on stackexchange narkive permalink

Jeg prøver å feilsøke et skadelig programvareprøve som installeres i et system som en tjeneste, og som bare starter hvis det starter som en tjeneste. Andre funksjoner er fortsatt tilgjengelige uten tjenestestart, som å konfigurere eller installere under et annet navn.

Jeg prøver å fange nettverkskommunikasjonen skadelig programvare sender og mottar så snart den starter som en tjeneste. Hvis jeg kobler til en løpende tjeneste / prosess med Immunity, har den allerede sendt nettverkspakker og mottatt, og jeg har savnet hva den har gjort med dem. Hvis jeg prøver å starte det på en annen måte, får jeg følgende feil: ERROR_FAILED_SERVICE_CONTROLLER_CONNECT (00000427).

Er det en annen måte å gjøre dette på? Eller litt løsning? Jeg er ganske ny på dette, så jeg savner absolutt noen åpenbare.

Fire svar:
Igor Skochinsky
2013-05-08 02:25:28 UTC
view on stackexchange narkive permalink

Du kan bruke registernøkkelen Alternativer for utførelse av bildefiler for å spesifisere en feilsøking som startes automatisk når den kjørbare filen starter.

Du kan også alltid gjøre det gamle trikset med lappe en endeløs løkke ( EB FE ) ved inngangspunktet eller et sted senere. Dette vil tillate deg å legge ved på fritiden, gjenopprette de oppdaterte bytene og gjenoppta kjøringen.

Hvis du bruker den andre metoden (dvs. lappe inngangspunktet til et uendelig hopp med 0xEB 0x FE, kan det også være lurt å justere ServicesPipeTimeout-verdien. Serviceleder vil timeout og avslutte tjenesten hvis den ikke starter innen standard timeout-verdien 30 sekunder
kan jeg ikke redigere kommentaren min for å legge til mer info? det står at kommentarer bare kan redigeres på 5 minutter? Hvis du også trykker på enter, går ikke til linjen nedenfor, men aktiverer Legg til kommentar-knappen :( i Windows Vista og over ImageFileExecution-alternativet vil ikke fungere på grunn av økt 0-isolasjon. Du må kanskje sette opp ekstern feilsøking med windbg [url] http: //blogs.msdn. no / b / cjacks / archive / 2006/12/12 / debugging-a-service-on-windows-vista.aspx [/ url]
cb88
2013-05-08 02:25:13 UTC
view on stackexchange narkive permalink

Det høres ut som du snakker om Windows Services. I så fall er jeg ikke sikker på hvordan jeg feilsøker dem. Kanskje du kan finne ut hvordan du kan få det til å bli en vanlig app, men det er kanskje ikke mulig.

Jeg tror imidlertid dette vil løse problemet med pakkeovervåking. Det lar deg overvåke pakker per prosess i motsetning til WireShark. SmartSniff burde også kunne gjøre denne jobben. Ikke sikker, men du må kanskje legge til prosesskolonnen, da den kanskje ikke vises som standard.

MicroSoft Network Monitor bør i teorien være den beste siden den vil være mest integrert med operativsystemet. Og få tilgang til mer informasjon som et mer bærbart verktøy som Wireshark ikke ville gjort.

Elias51
2013-05-22 06:28:11 UTC
view on stackexchange narkive permalink

Flere gode svar her, og den som er lagt ut av Igor, er perfekt for feilsøking av tjenesten før den faktisk starter. En innsikt jeg vil bidra med er å se på skadelig programvare for å se om det er noen tråder som er opprettet som inneholder funksjonaliteten du ønsker å gjennomgå.

Ofte i analysen min, har jeg håndtert skadelig programvare som kjører som en tjeneste, men i stedet for å gå gjennom noen av ringene du trenger å gå gjennom for å starte en feilsøking når tjenesten påkalles, ofte ha flaks med å se på skadelig programvare for en hovedtråd som er utskilt etter at de første kriteriene for oppstart av tjenesten er håndtert. Når jeg har funnet "hoved", tråd (forutsatt at den eksisterer og er frittstående), vil jeg bare laste DLL / EXE i Olly, sette min nye opprinnelse på trådstart og fortsette med feilsøkingen.

Slutten av dagen, det er egentlig bare en annen tilnærming, men noe du kan vurdere om situasjonen byr seg.

Denis Laskov
2013-05-08 11:00:44 UTC
view on stackexchange narkive permalink

Jeg vil skille spørsmålene her:

1. Hvordan feilsøke tjeneste: svaret på Igor dekker det. I grunn - Du kan bruke hvilken som helst feilsøkingsprogram som du kjenner til.

2. Hvordan fange nettverkstrafikk av skadelig programvare (som kjører som en tjeneste): svaret på cb88 dekker det. Enhver nettverkssniffer som er i stand til å fange kommunikasjon av tjenester. For å fange trafikk fra tjenestestart:

  • stopp service

  • aktiver nettverkssniffer

  • start tjeneste

siden begge svarene er korrekte = stemte for begge.


Denne spørsmålet ble automatisk oversatt fra engelsk.Det opprinnelige innholdet er tilgjengelig på stackexchange, som vi takker for cc by-sa 3.0-lisensen den distribueres under.
Loading...