使用OD调试服务

最新推荐文章于 2024-02-23 13:45:09 发布
原创 最新推荐文章于 2024-02-23 13:45:09 发布 · 4.5k 阅读 · 2
标签
#使用OD调试服务
本文详细介绍了如何使用OD(OllyDbg)调试服务程序。首先在注册表中新建服务项并设置相关参数,然后重启计算机。接着,修改服务程序入口点,配置OD为即时调试器,启动服务即可开始调试。在分析恶意样本时,应注意样本间的关联、行为记录、避免在同一环境中运行多个样本,以及利用字符串进行初步搜索。分析过程中要持续记录信息,并在规定时间内撰写报告,重点突出样本的行为和潜在威胁。

使用OD调试服务(服务程序为EXE文件)

1.       先注册服务。

在\HKEY_LOCAL_MACHINE\SYSTE\CurrentControlSet\services下新建项,在该项下面新建如下值,注意这些值的类型。


Description:服务的描述

DisplayName:服务显示的名字

ImagePath       服务程序所在路径

ObjectName    LocalSystem表示本地登录

ErrorControl   值为0x1

Start         值为0x2表示自动运行,值为0x3表示手动运行,值为0x4表示禁止运行

Type应用程序为0x10,其他0x20

 

新建Enum项和Parameters项,Enum项不需要添加值,Parameters需要

Parameters项下面值的名称可以自己起,数据是服务程序的绝对路径,类型是REG_EXPAND_SZ。

2.       重启计算机,可以在服务中找到刚才注册的服务。

最低0.47元/天 解锁文章
小甲鱼解密系列调试篇——OD使用教程笔记(持续更新中)
06-10 7845
一、修改内容 二、
Ollydbg使用指南
热门推荐
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
02-23 1万+
Ollydbg基本操作的汇总
动态调试和分析(OD和X64DBG)
m0_72827793的博客
02-23 5314
一般情况下,由于已有栈的内容是不应更改的,简单的壳会选择将这样的信息压入栈(在栈上开辟新的空间),x86的汇编指令pushad可以轻松地将所有寄存器一次性压入栈,UPX也是使用了同样地方式,被形象地称为”x64DBG和OD的布局相同,左上区域为反汇编结果的显示区域,左下角区域为浏览器内存数据的区域,右下角区域为栈数据的显示区域,右上区域为寄存器的显示区域。实际上,这是一个将栈空间向上清零0x80长度的循环,并不是真实的程序代码,后面紧跟着一个向前的较远的跳转,这样跳到原代码的跳转。
OD动态调试exe
wuwuliuliu0524的博客
08-21 978
从00401350开始,F8一行一行进行调试,运行到00401362,一部分二维码打印出来,调试到中括号最下面即可停止,并且在下一个中括号开始重复操作,设置此处为新EIP-F8调试。分析exe文件,用ida打开,找到主函数main,分析主函数可以发现,main在判断之后调用了l02等函数。以此类推,l04函数在00401365,F8运行到00401377打印,直至打印完全。开始找l02函数,左侧双击l02,跳转至00401350,这里是开始的位置。之前一直卡,好不容易搞懂一点,记下来记下来。
【Windows 逆向】OD 调试器工具 ( OD 附加进程 | OD 调试器面板简介 | 反汇编窗口 | 寄存器窗口 | 数据窗口 | 堆栈窗口 )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
11-15 5556
一、OD 附加进程、 二、OD 调试器面板简介 ( 反汇编窗口 | 寄存器窗口 | 数据窗口 | 堆栈窗口 )
如何调试服务
qq_27274665的博客
03-23 964
1. IDA或者OD分析程序,找到启动服务(CreateService,StartService)的调用代码看是要启动哪个文件 附加Services.exe,在CreateProcessInternalW下断,就能捕获到服务进程的创建 之后可以修改参数 dwCreateFlags 为挂起状态 CREATE_SUSPENDED(0x00000004) 之后可以附加调试服务进程,附加之后,打断点
在NP下用OD调试游戏的方法
hack_wg的专栏
11-25 2660
 在NP下用OD调试游戏的方法外挂制作   2009-01-19 22:09   阅读266   评论0   字号: 大大  中中  小小 一、NP用户层监视原理 NP启动后通过WriteProcessMemory跟CreateRemoteThread向所有进程注入代码(除了系统进程smss.exe),代码通过np自己的LoadLibrary向目标进程加载npggN
Windows下如何调试由dll文件运行的服务
ATree的博客
03-29 2925
环境:Win 7 x86 工具:OD调试器 1、添加映像劫持 在HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Image File Execution Options下 新建以调试进程为名的项,例如新建svchost.exe,然后在新建字符串并命名Debugger,填写为调试器.exe路径...
《反勒索软件开发笔记》(二)服务程序排错技巧
kernweak的博客
12-25 226
服务程序排错技巧 调试信息输出 如OutputDebugString 通常在开发或者测试使用。 行时日志 考虑单日志或者多日志文件 异常捕获try expect 内嵌汇编,栈内存被覆盖会没用 异常捕获minidump如SetUnhandledExceptionFilter 异常捕获,(运行时库?)奔溃不会捕获,用minidump传给服务器。 因为服务管理器定时查服务管理...
java程序调试方法简介
petrel2015的博客
03-05 1365
最近面试华为OD岗的时候面试官问到我这样一个问题:如何调试服务器上跑着的程序。jdk自带的就可以。 我查了jdk自带的有这几种jps、jstack、jstat、jmap、jinfo。 比较有名的还有阿里的arthas。arthas我理解是整合了以上的一些方法,变成了一个可交互的终端。 jps 查看java程序进程 jstack 没找到能成功的方法 【已解决】发现是docker的问题,使用–cap-add=SYS_PTRACE 参考https://blog.csdn.net/kinginblue/artic
病毒分析教程第五话--动态调试分析(上)
安全杂货铺
09-05 1482
s
od另类调试php,[转] 另类基址搜索方法!好像是OD附加内存搜索工具 查找基址
weixin_39582724的博客
03-28 1047
我们在使用OD做CALL调试的时候大家都会选择嵌入一句 __asm INT 3;来让OD自动断在我们需要的代码处。经过测试发现DNF拦截了INT 3的中断门,一旦程序运行到INT 3就会跳转到DNF内的一段代码,直接将游戏T下线。在这里呢就不讲如何恢复了,对我来说这个还做不到,于是想到了一个替*法,没脑人也能做成事,多出点傻力气也就可以了。言归正传。或许许多人对SYSER的操作还不熟悉,这里就详细...
oracle 漏洞 渗透,《Metasploit渗透测试魔鬼训练营》Oracle 漏洞还原与分析
weixin_32093519的博客
04-06 141
《Metasploit渗透测试魔鬼训练营》Oracle 漏洞还原与分析在用OD进行调试时,发现一直不能运行,也不知道怎么回事,按照书上说的,用F9,ctrl+F9多调几次,但是还是不行,不能运行。所以就暂时就不自己调试了,等到对od更加熟悉了再进行调试。看了书有这样两个问题,什么是 seh, 如何利用seh进行攻击,网上找到了这两篇文章:http://huobengle.iteye.com/blo...
调试HELLO,WORLD-小端序标记法
AlienEowynWan的博客
04-04 258
逆向分析代码,一般先静态分析收集代码相关信息,通过收集到的信息推测程序的结构与行为机,然后动态。动静结合。 调试hello,world 我们需要编写一个可执行文件:hello.exe 如图,当在编译器中写好程序后(VS2010) 按照如图操作,relsease模式将.cpp文件生成.exe,然后点“生成”->”生成hello”即可,然后我们将这个程序拖进OD(注意不要将程序窗口关掉,最小化即可,否则会造成程序进程结束无法单步调试调试器停止的地方为程序执行的起始地址即EP(Entry Point入
OD入门学习(调试篇)
u012640985的专栏
05-04 1万+
一、OD快捷键 二、关于jicunqi
脱壳方法汇总
weixin_34217711的博客
05-19 750
一、脱壳基础知识  1、脱壳的概念  在第三章中讲了加壳的概念,与加壳技术相对的就是脱壳技术了。脱壳就是将已经加壳的程序从壳中剥离出来。既然能给程序进行加壳,那也会有相应的脱壳方法。尽管理在有些壳很难脱掉,但是脱壳技术也在不断的进步,而且在不断竞争中发展状大。  2、OEP  OPE的意思就像它的名字一样容易理解。OEP就是原程序的入口点,也就是真正的入口点。  当被加壳的程序运行后,首先运行的是...
OD1调试
m0_52484587的博客
09-05 298
动态分析是在可控环境中运行程序或者模拟程序的执行过程,同时利用分 析工具,监控程序的所有操作,观察其执行流程和状态,获取执行过程中的各 种数据。调试则是一种最为重要的动态分析技术,能够获取程序的真实行为, 以及指令执行过程中各个操作数的具体值。nag本意是烦人的意思,nag窗口是软件设计者用来时不时提醒用户购买正版的警告窗口。(提取码1111),获得正 确的序列号或者修改程序逻辑, 以此学习调试 Win32 应用程序的相关技术。EIP:总是指向下一条要被执行的指令。ESP:指向当前进程的栈空间地址。
OD调试多线程
weixin_33953249的博客
06-08 671
OD只能单线程调试,也就是每次只能跟一条线程。以前我调试时常常迷迷糊糊就进入新线程,而有时又怎么也进不了。。。 最近大概明白了一点点。 方法:首先是设置StrongOD,如下图: 不要勾选“Skip Some Exceptions”, 还有OD本身里面的异常都不要勾选!很重要! 到新建线程里面有个参数是线程函数的指针,如下图所示: 首先是在上面...
OD软件断点原理
寻梦&之璐
01-24 4981
软件断点即int 3----l调试器利用EXCEPTION_BREAKPOINT异常实现断点功能。 int 3 设置断点命令对应的汇编指令为INT3,对应的机器指令的也就是0xCC。CPU运行代码的过程中若遇到汇编指令INT3,则会触发EXCEPTION_BREAKPOINT异常。在OllyDbg调试器某个地址设置断点后,确定该地址处的指令是否真会变为INT3(0xCC)? OD 接下来我们查看以下数据窗口, 查看到设置断点的地方,该地址处的指令并未变成INT3(汇编指令),也并未"6A“变成”CC"(
OD使用笔记
輚至消亡
06-26 1845
Alt+F9: 直接从系统模块飞回程序模块 Ctrl+F9: 执行到当前函数的结尾 F4: 执行到选中的语句处 内存断点的利用: 在数据上下的断点,如果读取或写入该数据则会断下来。 在内存窗口右键选Search, 在ASCII上输入内容,然后输入搜索内容 搜索到后,找到地址 下内存断点后点击运行即可 下断点的方法: 1. 命令方式 2. 搜索API设断点: 给API设置断点,一旦调用就会断下 搜索机器码 搜索Jmp命令 搜索命令 点..
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值