Отладка защищенного подписанного сервиса в Windows 10

Тема в разделе "WASM.RESEARCH", создана пользователем vx1d, 14 апр 2017.

  1. vx1d

    vx1d Member

    Публикаций:
    0
    Регистрация:
    13 дек 2016
    Сообщения:
    60
    Дано: сервис на Windows 10 x64, PE подписан, сервис стартует с ключем в реестре: LaunchProtected > 0
    Нужно приатачица отладчиком
    Простой атач дает Access Denied
    Я придумал так:
    1 - гружу OS в SafeMode (использую msconfig)
    2 - изменяю значение в реестре LaunchProtected = 0 (чтобы можно было приатачица отладчиком)
    3 - создаю ключ HKLM\SYSTEM\CurrentControlSet\Control\ServicesPipeTimeout = ffffffff
    чтобы cервис не отваливался по таймауту
    4 - удаляю ЦП в PE c помощью любого PE редактора (правлю OptionalHeader)
    5 - патчу EntryPoint сервиса на jmp $
    6 - перезагружаюсь в нормальном режиме
    7 - после перезагрузки старт сервиса зациклен, можно атачиться юзермодным отладчиком

    Как проще можно приатачиться отладчиком к защищенному сервису, чтобы отладка была с EntryPointa?
     
  2. RET

    RET Well-Known Member

    Публикаций:
    17
    Регистрация:
    5 янв 2008
    Сообщения:
    808
    Адрес:
    Jabber: darksys@sj.ms
    Сасанпендить сервис после аттача с фишкой jmp $, верните украденные байты и F8. В чем тут проблема?
     
  3. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    1.786
    У вас есть модуль, а значит можно влить в него любой функционал, хоть сам отладчик - инфект. Отключив системную проверку целостности есно.