apimonitor для служб

Можно или через apimonitor смотреть вызовы функ. у служб ?
Для процессов получается а вот для службы нет(

 

XshStasX
attach to process не пойдет?

самый извращенный вариант: добавить в импорт службы длл шпиона. автоматом загрузит

 

Rustem
apimonitor со службой так не заработает(.

может подскажешь такую dll ?

 

XshStasX
http://blackninja2000.narod.ru/files/apilog13pub.zip
Апи шпион - API Logger, закинь intruder.dll и settings.ini в директорию службы
и пропиши настройки.

 

Rustem
А дальше ?
каким образом служба сделает загрузку intruder.dll ?..

 

XshStasX
я же написал добавь интрудер.длл в таблицу импорта службы.
например CFF Expoloer http://cracklab.ru/download.php?action=get&n=Njgw

 

XshStasX

А служба что не процесс.. Очередной бред.

 

Clerk
твой диагноз - просто кривые руки ???

 

В одном процессе могут крутиться несколько служб, конечно это на вышеупомянутую задачу не должно влиять, только если ложными вызывами ( не та служба вызвала перехваченную функцию), но в сущности ДА! служба != процесс

 

Rustem

У тебя intruder.dll инициализируется ?
У меня в dllmain по адресу 003B22AE идет вызов функ, в которой идет jmp 937A95FC есно получается исключение.
и еще эта dll перехватывает чисто определенный набор функ? или все экспортируемые ??
Clerk

А я не говорил что служба не процесс.

 

XshStasX
неплохо бы почитать мануал, если хочешь пользоваться. там все расписано что перехватывается.
там любой критерий можно задать хоть экспорт, хоть внутреннюю функцию

 

Rustem
почитал, чет так и не понял зачем там intruder.dll про нее в apilogger_rus.txt ничего не сказано.
а так запускаю apilogger.exe в нем выбираю для теста приложение но так и не создается файл лога(.

Тестирую не на службе, а на обычном приложении.
ОС WinXp sp 2

 

XshStasX
intruder.dll внедряется в процесс и ведет лог
apillogger.exe это только оболочка. которая получает параметры и сохраняет их в файле настроек и внедряет длл

 

spa

Поток не может находиться вне процесса, единственное исключение это когда задача переключается, тогда в некоторый момент её контекст не определён, но при этом она не доступна. Если служба это модуль, то достаточно проверять адрес возврата(Ip в стековом фрейме) на принадлежность модулю, это позволит отсеять сторонние вызовы.

 

Clerk
никто и не говорил, что сервисы содержатся вне процесса, я лишь сказал что

само собой, я не говорил что задача неразрешима, но определенные доработки нужны.

 

spa
Так вы товарищ п%л ?

 

Clerk
пруфлинк? или сабж это как раз вы. Просто вы настолько фимозны, что даже за меня выводы делали, и приписывали мне слова которые я не говорил.

PS мат, даже завуалированный запрещен, но видимо есть избранные.

 

spa
Избранные есть, несомненно. Просто я не привык разбирать размытые ответы. Вы сказали что какойто код выполняется вне процесса, за это вас следует посадить накол.

 

цитату не соизволите? или это очередной ваш пук? Да пойми что ты лузер, не смотря на то как ты задрочил ядро.

 

spa

Пойми что ты лузер, независимо от того, как я знаю ядро.