Windows 10以上版本系统svchost服务入口函数调试方法

原创 已于 2023-11-27 11:23:07 修改 · 782 阅读 · 1 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#windows #安全
于 2023-11-26 22:39:00 首次发布

前言

  • 原先调试一个windows进程,习惯在内核模式的windbg中切换到目标进程上下文,加载调试符号和下断点。但是这样只能调试已经启动的、运行中的进程。最近要调试某个svchost服务的入口(下文以TermService服务为例),也就是需要调试该服务的ServiceMain函数,需要能在这个函数或者在该函数执行之前通过调试器中断下来。
  • 经过一番网上冲浪,得到如下两种方法:
    • 利用Image File Execution Options键,使用调试器启动服务,这个算比较正经的途径。在《使用Windbg&OllyDbg从头调试windows服务》这篇文章中提到结合桌面交互检测服务(Interactive Services Detection)进行本地调试,然而在Win10的较新版本中这个服务已经被移除了,因此本文采用的调试方式为远程调试。
    • 将动态库的入口函数的开始部分字节替换成一条自循环的指令,之后启动服务时,就会先在这里卡住,这时可附加调试器,再将之替换为原指令即可。这样做不需要修改注册表,但要先把原来的dll文件替换掉。
  • 下文以TermService服务为例,实验验证上述两种方法。

实验环境

  • 物理机:Windows 10 x64,已安装Windbg Preview。
  • 虚拟机:Windows 10 x64,将在该系统上运行要调试的TermService服务

实验一:结合Image File Execution Options键,使用调试器启动服务进程

搭建调试环境(windbg + ntsd/cdb)

  • 电脑安装wdk后,其中的Debuggers目录下有全部跟调试有关的库和程序等(注入windbg, cdb, ntsd, dbgsrv)。我的虚拟机是x64的系统,故将Debuggers\x64目录拷贝到虚拟机中。注意,必须拷贝整个目录,不能只拷贝单个程序,否则会因缺少库而导致各种问题。
    在这里插入图片描述
  • 关闭防火墙,以便使用tcp端口作为远程调试用的端口。
  • 找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options项。我要调试termservice服务,其通过svchost.exe启动,故找到svchost.exe键,新建字符串类型值debugger,填入调试器路径及启动参数:C:\Users\cmtest\Desktop\x64\ntsd.exe -server tcp:port=1234 -noio -y srv*C:\win_symbols*http://msdl.microsoft.com/download/symbols
    • -y参数指定符号路径。使用ntsd或cdb开启调试服务后,远程调试时调试器是在虚拟机本地搜索调试符号文件的。
      在这里插入图片描述
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control键下,新建一个dword值ServicesPipeTimeout,该值表示服务启动的超时时间(单位:毫秒)。为了保证有足够时间调试,设置值为86400000,表示24小时。注意,需重启电脑才能使这一设置生效
    在这里插入图片描述
  • 打开服务管理器,找到要调试的服务,在登录项里选中允许服务与桌面交互。如果前面设置了debugger值而不设置这一项,则启动服务会提示无权限。
    在这里插入图片描述
  • 虚拟机中启动要调试的服务。
  • 在宿主机中打开windbg preview,选择Connect to remote debugger,在Connection strings中填写tcp:server=192.168.29.128,port=1234,并点击OK
    在这里插入图片描述
  • 成功连接后,宿主机的windbg和虚拟机的情况分别如下二图。在下面第二张图中,可看到ntsd进程的使用的TCP 1234端口已建立了连接。
    在这里插入图片描述
    在这里插入图片描述

问题一:所有svchost服务启动时都会通过ntsd使用同一端口

  • 这样一来,系统有时启动一些svchost服务,会出现很多新的ntsd进程,调试上比较麻烦(类似于后面的问题二所述)。
  • 解决方法如下:
    • 在system32目录,拷贝svchost文件,新文件命名为svchost2.exe
    • 修改HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService键的ImagePath值,改用svchost2的文件路径。
    • 注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下新建一个svchost2.exe项,参照前面的填法填入调试器路径及参数。
      在这里插入图片描述 在这里插入图片描述
  • 之后启动服务,可看到使用的是svchost2。并且不会再出现其他ntsd进程。在这里插入图片描述
    在这里插入图片描述

问题二:无法退出调试的服务

  • 当服务退出时,windbg会再次中断,停留在ntdll!NtTerminateProcess函数的结束处(这也表明被调试的进程已经结束了)。但是退出调试器再连接此端口时,仍会中断于此。
    在这里插入图片描述
    在这里插入图片描述
  • 最后只能通过process hacker将ntsd进程杀掉。暂无其他方法。

问题三:.reload命令没能下载符号

  • 在宿主机的windbg调试器中执行.reload命令时提示The system cannot find the file specified。看了下符号路径,也没发现问题。无解。
    在这里插入图片描述
    在这里插入图片描述
  • 目前的解决方法:先在虚拟机中启动termservice服务(需先把前面对Image File Execution Options项设置的debugger去掉),然后ntsd -p <pid>附加到此服务进程,设置sympath,再通过.reload /f下载符号文件。
    在这里插入图片描述

分析svchost.exe,以确定作为服务载体的dll库被加载的时机

  • 刚开始连上调试服务时,windbg停在启动进程时用的加载器函数LdrInitializeThunk这里。这时svchost.exe已加载(即可使用调试符号),termsrv.dll未加载。需要在termsrv.dll被加载完后,才能到这个库的入口处下断点。
    在这里插入图片描述
  • 思路是在svchost.exe中找到对LoadLibrary函数的调用,以确定加载目标dll的那段代码。用ida打开svchost.exe,查看LoadLibrary函数的交叉引用。
    在这里插入图片描述
  • 可以看到主要是GetServiceMainFunctions函数在调用LoadLibrary函数,判断加载动态库的主要操作在此中,所以进GetServiceMainFunctions函数中简单分析一下。
  • 首先看到了对注册表项System\\CurrentControlSet\\Services\\Parameters下的ServiceDllServiceManifest等值的读取,明白这里要获取目标dll的文件路径。
    在这里插入图片描述
    在这里插入图片描述
  • 获取的路径字符串存在了a1参数指向的某结构体中(a1 + 8,即a1处往后的第8个qword处)
    在这里插入图片描述
  • 之后便是调用LoadLibrary函数加载动态库。
    在这里插入图片描述
  • 之后又分别获取SvchostPushServiceGlobalsSvchostPushServiceGlobalsEx以及dll主函数地址,分别存放到a2a3a4参数中。
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
  • 通过分析,确定GetServiceMainFunctions函数会完成dll的加载,并且不会将执行权转交给dll。因此,找到调用GetServiceMainFunctions函数的地方,运行完该函数,即可完成termsrv.dll的加载。
  • ida中看到调用GetServiceMainFunctions函数的地方只有一处,因此在此处调用后面下断点,直接F5运行至此,完成termsrv.dll库的加载。
    在这里插入图片描述在这里插入图片描述
  • 既然termsrv.dll已被加载到内存中,那就能加载其调试符号,然后找到主函数并下断点了。
    在这里插入图片描述

实验二:修改程序入口,迟滞进程的启动

  • 前面提到,上面的方法有一个问题,就是不能通过在宿主机的windbg中执行.reload /f命令将所有相关的符号文件下载到本地。于是有了下面的测试。

实验2.1:将termsrv!DllMainCRTStartup函数开头替换为自跳转指令

  • 在ida中加载termsrv.dll文件,将DllMainCRTStartup函数的开头两个字节替换成EB FE,跳转到此短跳转指令自身,让程序在开始运行时陷入死循环。
    在这里插入图片描述
    在这里插入图片描述
  • 导出打过补丁的termsrv.dll,替换虚拟机中的该文件,然后启动TermService服务。这时,即使没有通过调试器启动svchost,服务启动时也会卡着。
    在这里插入图片描述
  • 这时就可在本地(也就是虚拟机中)通过windbg附加到服务进程。在反汇编窗口可看到DllMainCRTStartup函数修改后的样子。这时候,可以执行.reload /f将包括termsrv.pdb在内的相关的符号文件下载到本地。然后就可以愉快地找函数下断点了。
    在这里插入图片描述
  • 之后再windbg中打开内存窗口,将前面的补丁字节改回来。

在这里插入图片描述

  • 继续运行,服务便完成启动了。
    在这里插入图片描述

实验2.1:将termsrv!DllMainCRTStartup函数开头替换成int 3

  • 现在再测一下将termsrv!DllMainCRTStartup函数第一个字节替换成CC,以触发int 3中断。
    在这里插入图片描述
  • 在虚拟机已配置好内核调试的情况下,服务一启动系统就会卡死。
    在这里插入图片描述
  • 这时在物理机挂上内核模式的windbg,可看到系统卡在svchost进程这,也就是上面设置的int 3中断处。这时可以通过.reload命令将符号文件下载到物理机的文件系统中。之后同前文所述,下断点、将开头字节改回原字节,即可继续运行并调试了。
    在这里插入图片描述

参考

可被Svchost.exe启动的DLL服务源码-易语言
06-12
可被Svchost.exe启动的DLL服务源码 大家都知道,windows系统下有多个svchost.exe进程,它是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。 本源码是一个完整的可被svchost.exe启动的DLL服务源码,同时包含了穿透Session0隔离来与桌面交互的源码(在Vista以上,如果你想在服务程序中创建窗体,目前是不可能直接显示到你的桌面的,而且在服务中是无法访问桌面任何窗口句柄的,因为服务和你使用的桌面不是同一个桌面,而是隔离开的)。 如上图所示,此源码用黑月编译的dll文件,在xp、server2003、win7x64、win10x64(管理员权限运行)测试通过,XP以上的系统应该全支持。但并不一定要黑月编译,静态编译也可以的。这个可以用来做什么?毕竟是系统服务,在开机的时候就运行了,不必登录到系统,具体能做什么大家发挥想象力...
开启windows 10的远程桌面服务
boy_hxm的专栏
03-01 6890
windows操作系统中有一个远程桌面服务,很好用。今天介绍一下如何用启用。 我这里主要是用命令启用,因为windows 10的最新版本系统,属性很不不友好了,所以我这里全部用命令操作。图形操作的有空再说。 这个功能是一个服务,它的服务名称叫TermService,服务列表中的显示名称叫:Remote Desktop Services,默认端口是:3389,如果使用默认端口很危险,因为很多勒索病毒都是通过这个入口进入公司内网运行病毒的。所以这个默认端口最好修改一下。 描述是:允许用户以交互方式连接到
创建SvcHost.exe调用的服务原理与实践
endword的专栏
06-06 1034
创建SvcHost.exe调用的服务原理与实践创建时间:2003-08-27 更新时间:2003-08-27文章属性:原创文章提交:bingle (bingle_at_email.com.cn)创建SvcHost.exe调用的服务原理与实践   by bingle_at_email.com.cn      www.BingleSite.net1. 多个服务共享一个Svchost.exe进程利与弊w
终极指南:如何免费解锁Windows远程桌面多用户并发功能
最新发布
gitblog_00283的博客
05-06 175
RDP Wrapper Library(远程桌面封装库)是一款革命性的开源工具,专为突破Windows系统内置的远程桌面单用户限制而设计。通过巧妙的配置层技术,它能在不修改系统核心文件的前提下,为Windows Vista到Windows 10的各个版本启用完整的远程桌面主机支持和多用户并发会话功能,彻底解决团队协作中的远程访问瓶颈。无论是家庭用户还是小型企业,都能免费享受专业版才具备的多用户远程
winhttp劫持dll
qq_52308245的博客
06-12 774
hook mono函数
我是HDRoot!
weixin_33978016的博客
03-08 476
virustracker · 2015/10/20 12:14原文:securelist.com/analysis/pu…securelist.com/analysis/pu…之前,我们在追踪Winnti小组的活动期间,偶然遇到了一个非常有趣的样本。这个样本使用了VMProtect强壳,是一个Win64可执行程序,使用了一个来自中国广州YuanLuo科技的未知签名。并且,这个可执行文件的属性与微软...
Windows 服务调试方法
云满笔记
12-04 943
思路与普通 Windows 程序调试一样, 利用弹出消息框时产生的中断, 我们将 VS IDE 附加调试到进程中的服务程序.
认识windows svchost -- 删除非正常服务
spiritfrog
02-25 805
今天在win2003上碰到几个系统服务,无法停止,也无法删除,一看详情,居然调用的是svchost -k ,原来svchost也可以作系统服务。我还是想把这几个不正常的系统服务给杀掉, 一般的系统服务用sc delete 就能删除, 而这几个却不行,只好先看看svchost到底是怎么回事: &nbsp; ---------------------------------------------...
svchost Viewer:全面监控与管理Windows服务
weixin_31315007的博客
08-12 467
Windows操作系统中非常重要的一个进程,它负责承载和运行系统服务。这些服务被组织成不同的服务组,并由一个或多个svchost实例管理。由于其复杂性,理解和监控对于系统管理和优化至关重要。在操作系统的众多进程和服务中,svchost.exe无疑是一个特殊的存在。svchost.exe,即Service Host,是一个通用的宿主进程名,它被用来运行很多Windows服务。随着系统服务数量的不断增加,svchost进程的数量也随之增长,这就使得管理员在管理时面临更大的挑战。
svchost服务的编写
03-07 2242
ActiveX   DLL不行,要写成标准的API   DLL才行,要导出一个函数ServiceMain; 以下为一段DELPHI的代码 {   文件名:   ServiceDll.dpr     概述:       替换由svchost.exe启动的某个系统服务,具体服务由全局变量   ServiceName   决定.                     经测试,生成的DLL文件运行完全正
Windowssvchost机制:为什么要把服务都塞进一个进程?
qq_63315166的博客
12-13 793
svchost设计是一个典型的"以复杂度换效率"的案例,在节省系统资源的同时提高启动效率,拥有了更好的安全隔离,但缺点是调试维护更复杂。有Windows开发经验的朋友,欢迎在评论区分享你的见解~- 必要DLL加载:~5MB。- 基础进程开销:~2MB。共享同一份系统DLL加载。共享同一个安全上下文。
Windows服务详解
yellow的博客
05-28 1485
做逆向的时候经常遇到Windows服务方面的东西,以前有没有写过这方面的程序,感觉很吃力。 找到一篇介绍很详细的文章,共享:https://www.cnblogs.com/lzjsky/archive/2010/09/06/1819053.html 防止文件链接丢失,PDF文件下载地址:https://download.csdn.net/download/singleyellow/104431...
windows无法启动RemoteDesktopServices服务(位于本地计算机上)。错误126:找不到指定的模块。
学习使我快乐_玉祥
06-29 6295
计算机\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService\Parameters。win10的搜索栏输入 注册表编辑器。这是因为某些程序篡改了该默认值内容。
terminal看服务器性能,事件查看器中"TermService" 服务的性能库问题处理
weixin_42510717的博客
08-05 1202
发现事件记录:"TermService" 服务的性能库 "C:\WINDOWS\system32\perfts.dll" 的配置信息 同在注册表中保存的受信任性能库信息不匹配。此库中的函数不会作为受信任函数处理。TermService是系统的一个服务。Terminal Services 提供一个多会话环境,客户端设备可以在此环境中访问虚拟 Windows 桌面会话和服务器上运行的基于 Windo...
Windows服务应用程序的开发与调试
qq_28426719的博客
10-16 2159
Windows服务开发与调试
SVCHOST启动服务实战
黄黄臭臭的便便到铜钱
04-24 1万+
转载出处: https://sanwen8.cn/p/2cenbHs.html Svchost.exe 是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。这个程序对系统的正常运行是非常重要。
RDP Wrapper Library 之自己搞定rdpwrap.ini更新 
热门推荐
ty0_0的专栏
03-16 3万+
RDP Wrapper Library 之自己搞定rdpwrap.ini更新 RDP Wrapper Library支持多用户Windows版本远程桌面很爽,但是windows 10 经常更新,导致版本升级无法使用。 具体怎么更新,https://blog.csdn.net/u010804317/article/details/104011926文章写得最全,关于如何替换rdpwrap.ini 如何 更新, 说的也比较详细明白,但是有些含糊之处,特此补充。 (1) 更新rdpwrap.ini ..
svchost.exe dll调试
yuanfengfengyuan的博客
06-05 420
svchost.exe 用微软的话来说:它是一个从动态链接库(DLL)中运行的服务的通用主机进程名称。一般存放在系统目录(%SystemRoot%)下的System32文件夹里。每次计算机启动的时候Svchost都会从注册表中读取服务列表,加载服务Svchost本身只是作为服务宿主,并不实现任何服务功能,需要Svchost启动的服务以动态链接库形式实现,在安装这些服务时,把服务的可执行程序...
如何查html病毒svchost.exe,svchost是什么?怎样清除svchost.exe病毒?
weixin_33469623的博客
06-11 1609
svchost是什么360流量系列软件最新版本下载Svchost.exe 是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。这个程序对系统的正常运行是非常重要,而且是不能被结束的。svchost.exe在windows进程中占据很大一部分的资源,svchost.exe非常容易被病毒所利用。svchost.exe病毒利用之后,系统常会弹出svchost.exe错误,当然 svchost.e...
用Delphi编写一个Svchost.exe调用的DLL模块
颜夕真的专栏
04-02 1500
这个模块的代码在网上流传的是用C写的,这里我花了一个早上用Delphi写了一个DLL,可以自己扩充各种功能.[code]{  文件名: ServiceDll.dpr  概述:   替换由svchost.exe启动的某个系统服务,具体服务由全局变量 ServiceName 决定.          经测试,生成的DLL文件运行完全正常.          测试环境: Windows 2003 Ser
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值