Sandboxie注入notepad.exe进程空间中的变化

最新推荐文章于 2022-03-16 08:34:24 发布
最新推荐文章于 2022-03-16 08:34:24 发布
阅读量196 收藏
点赞数
分类专栏: HOOK 钩子注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/joinpark/article/details/113751611
版权
本文详细分析了Sandboxie如何将notepad.exe进程中的正常代码0x000000007775C320替换为跳转到0x0000000000030990的指令,并展示了被替换后的不正确代码。通过0x0000000000030990的地址,可以看到一系列内存操作和调用,最终跳转到EntrypointC函数实现控制流程。
摘要由CSDN通过智能技术生成

m_LdrInitializeThunk = 0x000000007775c320
正常的代码
000000007775C320  push        rbx  
000000007775C322  sub         rsp,20h  
000000007775C326  mov         rbx,rcx  
000000007775C329  call        000000007775C350  
000000007775C32E  mov         dl,1  
000000007775C330  mov         rcx,rbx  
000000007775C333  call        0000000077781740  
000000007775C338  mov         ecx,eax  
000000007775C33A  call        00000000777FD7C0  
000000007775C33F  int         3  

调整后实际变成了
000000007775C320  jmp         0000000000030990  
000000007775C325  and         byte ptr [rax-75h],cl  //此处不是正确的代码,正确的代码在第二段
000000007775C328  fld1  
000000007775C32A  and         al,byte ptr [rax]  
000000007775C32C  add         byte ptr [rax],al  
000000007775C32E  mov         dl,1  
000000007775C330  mov         rcx,rbx  
000000007775C333  call        0000000077781740  
000000007775

最低0.47元/天 解锁文章
joinpark
关注
专栏目录
Sandboxie注入过程
joinpark的专栏
08-12 753
沙箱进程启动后驱动获取了进程启动信息,通知到svc进程。 svc进程执行Inject_low。 首先在目标进程申请一个空间,地址remote_addr,长度lowdata的长度,将LowData放进去。这个数据是一个dll,工程是LowLevel,作为资源放在svc,在注入前已经释放出来。 申请的空间的数据如图entry.asm。 申请数据分成两部分,一部分是.text执行代码,一部分是.zzzz。 其.zzzz包含两个指针,一个是_Start,指向了运行代码的位置,这个很关键,这是程..
Sandboxie注入库对进程外资源的安全访问
joinpark的专栏
02-08 501
有些情况下需要让注入的库和外部进程或驱动通信, 很多情况下可以直接让动态库通过rpc或打开设备进行通信,但是这也就意味着其他的任何程序只要符合该接口标准都可以通过这些接口进行通信。 为了让注入的动态库和外部进程和驱动安全通信,Sandboxie在服务进程打开设设备,并复制句柄,将句柄赋权给注入进程。这样其他的进程就可以访问设备了。 打开设备: RtlInitUnicodeString(&uni, API_DEVICE_NAME); InitializeObjectAttrib...
[Cuckoo SandBox]注入原理篇
推理小孩的博客
03-06 1086
[Cuckoo SandBox]注入原理篇 1.LoadExe 接python版本 通过调用LoadExe去加载Dll进行注入 所以先看LoadExe 加载器的功能吧 通过python管道接收到  processID,ThreadID,路径 ,然后就开始搞事情了注入了 接收原理 管道具有传递命令行参数专递的作用,利用其进程间通信的功能,通过命令...
沙盘 注入DLL
weixin_33827590的博客
11-22 319
2019独角兽企业重金招聘Python工程师标准>>> ...
加密与解密:注入
weixin_49777720的博客
03-16 561
文章目录DLL注入放发通过干预输入表处理过程加载目标DLL静态修改PE输入标法进程创建期修改PE输入表法输入表项DLL替换法改变程序运行流程使其主动加载目标DLLCreateRemote Threadz法利用系统机制加载DLL DLL是Windows平台提供的一种模块共享和重用机制,它本身不能直接独立执行,但可以被加载到其他进程间执行,对灵活实现各种补丁功能非常有帮助。 DLL注入放发 程序加载DLL时间: 在进程创建阶段加载(静态输入) 调用LoadLibrary主动加载(动态加载) 由于系统机制的要
沙盘Sandboxie v5.28.exe
06-02
5.28,直装破解版.别修改默认目录,会导致破解失败!win10卸载应用在win10应用心卸载.
沙盒隔离箱Sandboxie 5.42.1 x64.exe
09-02
沙盒隔离箱,可以把你的某些软件或者某些网页在一个独立的环境打开,而不会影响你的本机,也不会留下任何记录,防毒,防注册表利器,这是破节过的版本,安装直接用即可
沙盘 sandboxie v5.43.6文免费版
12-22
允许你在沙盘环境运行浏览器或其他程序,因此运行所产生的变化可以随后删除。可用来消除上网、运行程序的痕迹,也可用来还原收藏夹、主页、注册表。此外,还可用于测试软件,测试病毒等工作。使用方法即使在沙盘...
一种注册表沙箱的思路、实现——Hook Nt函数
方亮的专栏
06-11 5600
        Nt函数是在Ring3层最底层的函数了,选择此类函数进行Hook,是为了提高绕过门槛。我的Hook方案使用的是微软的Detours。(转载请指明出处)        Detours的Hook和反Hook的写入如下:DetourTransactionBegin(); DetourUpdateThread(GetCurrentThread()); DetourAttach(lpOriF...
调试wow64进程
xbgprogrammer的专栏
09-29 4685
当使用64位debugger调试wow64进程时,cpu context默认为64位,这是查看wow64进程调用栈时,会发现只有64位调用栈,而没有32位调用栈,例如查看32位notepad进程在64位Windows上的主线程调用栈: fffff880`0382b740 fffff800`03eea992: nt!KiSwapContext+0x7a fffff880`0382b880 ffff
内核通过给线程插apc注入dll
sgzwiz的专栏
03-03 7855
void ApcLoadDll(PVOID NormalContext, PVOID SystemArgument1, PVOID SystemArgument2); void ApcLoadDllEnd(); PMDL pMdl = NULL; void ApcKernelRoutine( IN struct _KAPC *Apc, IN OUT PKNORMAL_ROUTINE
[转]Sandboxie 的工作原理
weixin_30835649的博客
04-11 1533
Sandboxie 的工作原理 术语解释 Sandboxie 4.x 工作原理的一个示意图 hx1997 解说 Sandboxie 4.x 的工作原理 Sandboxie 3.x 的工作原理 术语解释为了帮助大家理解后面的内容,在下抄了些术语解释在这里: 钩子:本术语解释引自 http://www.oschina.net/question/565065_6...
关于Win7 x64下过TP保护(应用层)(转)
09-28 2464
非常感谢大家那么支持我上一篇教程。 Win10 快出了,所以我打算尽快把应用层的部分说完。 调试对象:DXF 调试工具:CE、OD、PCHunter、Windbg 调试先言:TP的应用层保护做得比较多,包括对调试器的检测,比如CE工具会被DXF报非法。有的保护还是内核与应用层交替保护。 应用层: 1、TP让调试器卡死(内核互动) 现象: <ignore_js_op>  如图,TP会检测...
LdrInitializeThunk 解析
热门推荐
趁着年轻,希望我们不会让自己失望
06-26 1万+
LdrInitializeThunk()    Windows 的 DLL 装入(除 ntdll.dll 外)和连接是通过 ntdll.dll 的一个函数LdrInitializeThunk()实现的.    在进入这个函数之前,目标 EXE 映像已经被映射到当前进程的用户空间,系统 DLL ntdll.dll 的映像也已经被映射, 但是并没有在 EXE 映像与 ntdll.dll 映像之间
漫谈兼容内核之十:Windows的进程创建和映像装入
周寅的专栏
03-13 1259
   关于Windows的进程创建和映像装入的过程,“Microsoft Windows Internals 4e”一书的第六章有颇为详细的说明。本文就以此为依据,夹译、夹叙、夹议地作一介绍。书说,创建进程的过程分成六个阶段,发生于操作系统的三个部分,那就是:Windows客户端即某个应用进程的包括Kernel32.dll在内的动态连接库,Windows的“执行体”、即内核(确切地说是内核的
零日漏洞DoubleAgent的代码注入和持久性攻击技术分析
weixin_34192816的博客
09-19 956
本文讲的是零日漏洞DoubleAgent的代码注入和持久性攻击技术分析, 近日Cybellum的安全专家发现了一种新型的零日漏洞病毒,该病毒会在攻击计算机前先破坏杀毒软件,Cybellum的安全专家将这种攻击手段命名为 DoubleAgent。 DoubleAgent通过向杀毒软件注入代码从而修改杀毒软件的进程,进而获得设备的完整权限来对用户进行攻击。...
沙盘Sandboxie 原理分析
xcntime的专栏
08-23 5791
Sandboxie. Process isolation with kernel hooks. May 23rd, 2011 Posted in Uncategorized Write comment 1. Introduction: Sandboxie
sandboxie sboxdll 注入
最新发布
10-11
当一个程序在Sandboxie环境运行时,sboxdll注入会在运行过程Sandboxie的DLL注入到程序的进程。这样一来,Sandboxie就可以将程序运行在一个隔离的虚拟环境,以确保程序的运行不会对主机系统产生任何危害。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值