对于Windows服务的调试,我们一般是用OD去附加相对应的服务进程,然后进行分析。
但对于有些服务程序,比如我们想调试其初始化过程,或者想调试该服务程序加载的某一个dll的初始化过程(比如自校验),上面的方法就不行了。这时可以用下面的办法:
1、将OD设置为当前系统的实时调试器;
2、将服务程序的入口第一字节修改为CC;
3、在windows服务管理器中启动该服务则会中断在OD中,此时修改入口为原始字节,入口处新建EIP;
4、比如我想调试它加载的某个dll(某些dll有自校验,修改了就不让加载,故需要分析之),则将OD设置中断与新模块(dll),然后F9,至目标dll,这时就可以调试了^_
注意:由于默认情况下服务管理器有个30s的限制,所以第3步手操作要快。当然也可以修改注册表设置改掉这个30s,改为更长时间即可。具体方法可以google下。
已经有(0)位网友发表了评论,你也评一评吧!
原创文章如转载,请注明:转载自Eddy Blog
原文地址:http://www.rrgod.com/technique/827.html 欢迎订阅Eddy Blog。