Sandboxie注入库对进程外资源的安全访问

最新推荐文章于 2024-01-16 15:15:40 发布
最新推荐文章于 2024-01-16 15:15:40 发布
阅读量473 收藏 1
点赞数
分类专栏: 安全 动态库 VC
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/joinpark/article/details/106749835
版权
VC 同时被 3 个专栏收录
7 篇文章 0 订阅
订阅专栏
安全
6 篇文章 0 订阅
订阅专栏
动态库
3 篇文章 0 订阅
订阅专栏

有些情况下需要让注入的库所在的低权限进程和外部进程或驱动通信,由于权限太低,很多资源是无法访问的,需要通过其他的方式赋予。

为了让注入的动态库和外部进程和驱动安全通信,Sandboxie在服务进程中打开设设备,并复制句柄,将句柄赋权给注入进程。这样其他的进程就可以访问设备了。

打开设备:

   RtlInitUnicodeString(&uni, API_DEVICE_NAME);
    InitializeObjectAttributes(
        &objattrs, &uni, OBJ_CASE_INSENSITIVE, NULL, NULL);

    status = NtOpenFile(
        &HandleLocal, FILE_GENERIC_READ, &objattrs, &MyIoStatusBlock,
        FILE_SHARE_READ | FILE_SHARE_WRITE | FILE_SHARE_DELETE, 0);
复制句柄

    if (NT_SUCCESS(status)) {

        //
        // duplicate opened handle into new process
        //

        BOOL ok = DuplicateHandle(NtCurrentProcess(), HandleLocal,
                                  hProcess, &HandleRemote, 0, FALSE,
                                  DUPLICATE_SAME_ACCESS);

        CloseHandle(HandleLocal);

        if (ok) {

            return HandleRemote;
        }
    }

同样可以打开文件做filemapping,提供只读句柄

HANDLE GuiServer::GetClipboardDataSlave2(
    ULONG pid, void *mem_ptr, SIZE_T mem_len)
{
    HANDLE hProcess = OpenProcess(PROCESS_DUP_HANDLE, FALSE, pid);
    if (! hProcess)
        return 0;

#ifdef _WIN64
    ULONG size_high = (ULONG)(mem_len >> 32);
    ULONG size_low = (ULONG)(mem_len & 0xFFFFFFFF);
#else
    ULONG size_high = 0;
    ULONG size_low = mem_len;
#endif _WIN64

    HANDLE hSectionRemote = NULL;
    HANDLE hSectionLocal = CreateFileMapping(INVALID_HANDLE_VALUE, NULL,
                                             PAGE_READWRITE | SEC_COMMIT,
                                             size_high, size_low, NULL);
    if (hSectionLocal) {

        void *data =
            MapViewOfFile(hSectionLocal, FILE_MAP_WRITE, 0, 0, mem_len);

        if (data) {

            memcpy(data, mem_ptr, mem_len);
            UnmapViewOfFile(data);

            if (! DuplicateHandle(NtCurrentProcess(), hSectionLocal,
                                  hProcess, &hSectionRemote,
                                  SECTION_QUERY | SECTION_MAP_READ,
                                  FALSE, 0)) {

                hSectionRemote = NULL;
            }
        }
    }

    ULONG LastError = GetLastError();
    if (hSectionLocal)
        CloseHandle(hSectionLocal);
    CloseHandle(hProcess);
    SetLastError(LastError);

    return hSectionRemote;
}

joinpark
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Sandboxie注入过程
joinpark的专栏
08-12 713
沙箱进程启动后驱动获取了进程启动信息,通知到svc进程。 svc进程执行Inject_low。 首先在目标进程中申请一个空间,地址remote_addr,长度lowdata的长度,将LowData放进去。这个数据是一个dll,工程是LowLevel,作为资源放在svc中,在注入前已经释放出来。 申请的空间中的数据如图entry.asm。 申请数据分成两部分,一部分是.text执行代码,一部分是.zzzz。 其中.zzzz包含两个指针,一个是_Start,指向了运行代码的位置,这个很关键,这是程..
Sandboxie注入notepad.exe进程空间中的变化
joinpark的专栏
08-12 183
m_LdrInitializeThunk = 0x000000007775c320 正常的代码 000000007775C320 push rbx 000000007775C322 sub rsp,20h 000000007775C326 mov rbx,rcx 000000007775C329 call 000000007775C350 000000007775C32E mov dl,1 000000...
Sandboxie shellcode lowlevel加载pdb进行调试
joinpark的专栏
08-12 241
首先查看LdrInitializeThunk的指令,查看之前的文章(),看到如下的信息: 001>u 0x000000007775c320 ntdll!LdrInitializeThunk: 00000000`7775c320 e90b47a088 jmp 00000000`00160a30 这个是跳转到entry.asm 001>u00000000`00160a30 00000000`00160a30 4883ec28 sub rsp,28h...
Sandboxie-沙箱软件-编译说明-模块解析
插件开发
02-17 1180
LowLevel.dll作为资源嵌入到SbieSvc.exe中(参见core\svc\lowlevel.rc)。目录SandboxWUAU(\apps\com\WUAU)。目录SandboxRpcSs(\apps\com\RpcSs)。目录Common(\apps\common)。目录SbieIni(\apps\ini)。目录SboxDcomLaunch(\apps\com\DcomLaunch)。目录SboxDll(\core\dll)。创建Sbie注入DLL。目录Start(\apps\start)。
Sandboxie源码分析【hook源头分析】
wurlin的博客
07-12 541
研究Sandboxie知道,在Sandboxie一开始加载子进程时,就已经开始了hook工作。那Sandboxie究竟是在哪一节点开始介入的呢?本篇进行追根溯源。
Sandboxie沙盘
05-23
Sandboxie是一款从底层操作系统层面,将真实系统环境与虚拟系统隔离,以防止个人数据、程序等不受未知程序或有风险操作影响的Windows端沙盘/沙箱软件。
安全相关-系统安全-沙盘Sandboxie软件 v5.50.8.zip
09-15
沙盘Sandboxie是一款强大的系统安全工具,尤其在计算机网络安全领域有着重要的应用。它通过创建一个虚拟环境,将用户在互联网上的活动隔离于系统核心之,从而保护主机系统免受潜在威胁的影响。在这个沙箱环境中,...
sandboxie-master.zip
08-10
总的来说,Sandboxie的开源为IT行业带来了宝贵的资源,无论是对个人开发者提升技能,还是对企业改进安全解决方案,都有积极的影响。通过深入研究Sandboxie的源码,我们可以更好地理解沙盒技术,甚至开发出更具创新性...
Sandboxie-Plus-x86-v1.0.20.exe
05-09
Sandboxie 是一款基于沙盒的隔离软件,适用于 32 位和 64 位基于 Windows NT 的操作系统。它创建了一个类似于沙盒的隔离操作环境,可以在其中运行或安装应用程序,而无需永久修改本地和映射驱动器或 Windows 注册表...
Sandboxie Classic v5.48.5.zip
02-26
沙盘 Sandboxie是国著名的系统安全工具,堪称电脑裸奔工具箱,病毒单挑王。 在沙盘环境中运行浏览器或其他程序,因此运行所产生的变化可以随后删除。可用来消除上网、运行程序的痕迹,也可用来还原收藏夹、主页、...
[Cuckoo SandBox]注入原理篇
推理小孩的博客
03-06 1036
[Cuckoo SandBox]注入原理篇 1.LoadExe 接python版本 通过调用LoadExe去加载Dll进行注入 所以先看LoadExe 加载器的功能吧 通过python管道接收到  processID,ThreadID,路径 ,然后就开始搞事情了注入了 接收原理 管道具有传递命令行参数专递的作用,利用其进程间通信的功能,通过命令...
沙盘 注入DLL
weixin_33827590的博客
11-22 305
2019独角兽企业重金招聘Python工程师标准>>> ...
Sandboxie免费开源沙箱软件下载与详细使用教程
热门推荐
两伙青年的收纳屋
10-13 2万+
2019年10月13日10时左右,我坐在电脑前为今日的推文码字。 隐约间,电脑椅(带轮子)前后摇摆,持续有几秒钟。 (公众号中可看视频) ▲以上视频来源网络 我下意识回过头看看后面,发现空无一人,于是我又继续码字… 接着,我这边的群炸了,各种囧图被发了上来,有些人甚至裹着被子、不穿衣服跑到街上,着实混乱了一下。 恐怕汶川、玉树等地的地震,让人们成为了惊弓之鸟。 最后,地震台网正式测定:10月12日...
Sandboxie编译安装指南
wurlin的博客
06-28 1183
Sandboxie的编译安装步骤。
【接口测试实战(六)】接口测试之sandbox(沙盒)
黑黑白白君的博客
06-04 929
前情: 《【接口测试实战(零)】接口测试简介》 《【接口测试实战(一)】搭建接口测试环境》 《【接口测试实战(二)】根据接口文档使用postman测试》 《【接口测试实战(三)】接口测试用例的编写》 《【接口测试实战(四)】根据接口测试用例进行测试》 《【接口测试实战(五)】接口测试之断言实战》 文章目录1)Postman Sandbox2)sandbox scripts中可用的 API2.1 pm对象pm 对象内部的几个核心功能:*在脚本中使用请求和响应数据:Request data: **pm.re
电脑软件:沙盒 Sandboxie 快速上手使用教程
最新发布
IT技术分享社区
01-16 1897
沙盘Sandboxie中文版是一款非常好用的系统安全工具软件,沙盘Sandboxie中文版能够很好的进行安全测试,拥有一个安全的环境,你不用担心自己的浏览记录被曝光,沙盘Sandboxie中文版可以很好的帮助用户消除一切的浏览痕迹,同时还可以帮助用户预防木马和病毒等攻击,用户可以在沙盘中轻松运行各种你不想留下痕迹的软件程序哟~
沙盒sandboxie的使用
qq_43565940的博客
03-20 1万+
沙盒sandboxie的使用
能上QQ,却不能上网的解决办法
Martix
03-04 3588
前言:本文介绍了六种引起不能上网的原因,并一一提供了解决方法。希望对碰到不能上网、能上QQ不能上网等问题的读者有所帮助。  正文  前几日,家中电脑网络出现问题,具体表现为网页无法打开,但QQ却能正常登录。后经高手指点后终于摆平。上网查阅有关资料,发现造成这一问题的原因是多种多样的,于是整理出来与各位分享。以后碰到不能上网的问题也可轻松解决。一、感染了病毒所致  这种情况往往表
Sandboxie源码分析(文件系统篇)
wurlin的博客
06-30 801
从文件系统的角度来分析Sandboxie的沙箱技术原理。
sandboxie sboxdll 注入
10-11
Sandboxie的sboxdll注入是一种安全技术,它用于在运行的程序中注入Sandboxie的动态链接库(DLL),从而实现对程序的隔离和保护。 当一个程序在Sandboxie环境中运行时,sboxdll注入会在运行过程中将Sandboxie的DLL注入到程序的进程中。这样一来,Sandboxie就可以将程序运行在一个隔离的虚拟环境中,以确保程序的运行不会对主机系统产生任何危害。 通过sboxdll注入Sandboxie可以控制和监控程序对系统资源访问,以及对程序生成的文件的读写操作。这种隔离和保护机制可以防止恶意程序对系统进行修改、敏感数据泄露以及病毒的传播。即使程序被感染或受到攻击,Sandboxie也可以保护主机系统免受影响。 另,sboxdll注入还使得Sandboxie可以对运行的程序进行行为分析,以及各种威胁和攻击的检测。Sandboxie可以记录程序的行为并生成报告,以帮助用户检测可能存在的威胁,并采取相应的措施。 总的来说,Sandboxie的sboxdll注入是一种有效的安全措施,可以在运行程序时提供隔离和保护,以防止恶意行为对主机系统造成伤害。它是一个非常重要的工具,可以在保护个人计算机的安全方面发挥重要作用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值