Sandboxie注入notepad.exe进程空间中的变化

最新推荐文章于 2022-03-16 08:34:24 发布
最新推荐文章于 2022-03-16 08:34:24 发布
阅读量182 收藏
点赞数
分类专栏: HOOK 钩子注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/joinpark/article/details/113751611
版权

m_LdrInitializeThunk = 0x000000007775c320
正常的代码
000000007775C320  push        rbx  
000000007775C322  sub         rsp,20h  
000000007775C326  mov         rbx,rcx  
000000007775C329  call        000000007775C350  
000000007775C32E  mov         dl,1  
000000007775C330  mov         rcx,rbx  
000000007775C333  call        0000000077781740  
000000007775C338  mov         ecx,eax  
000000007775C33A  call        00000000777FD7C0  
000000007775C33F  int         3  

调整后实际变成了
000000007775C320  jmp         0000000000030990  
000000007775C325  and         byte ptr [rax-75h],cl  //此处不是正确的代码,正确的代码在第二段
000000007775C328  fld1  
000000007775C32A  and         al,byte ptr [rax]  
000000007775C32C  add         byte ptr [rax],al  
000000007775C32E  mov         dl,1  
000000007775C330  mov         rcx,rbx  
000000007775C333  call        0000000077781740  
000000007775

最低0.47元/天 解锁文章
joinpark
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Sandboxie注入过程
joinpark的专栏
08-12 710
沙箱进程启动后驱动获取了进程启动信息,通知到svc进程。 svc进程执行Inject_low。 首先在目标进程申请一个空间,地址remote_addr,长度lowdata的长度,将LowData放进去。这个数据是一个dll,工程是LowLevel,作为资源放在svc,在注入前已经释放出来。 申请的空间的数据如图entry.asm。 申请数据分成两部分,一部分是.text执行代码,一部分是.zzzz。 其.zzzz包含两个指针,一个是_Start,指向了运行代码的位置,这个很关键,这是程..
Sandboxie注入库对进程外资源的安全访问
joinpark的专栏
02-08 472
有些情况下需要让注入的库和外部进程或驱动通信, 很多情况下可以直接让动态库通过rpc或打开设备进行通信,但是这也就意味着其他的任何程序只要符合该接口标准都可以通过这些接口进行通信。 为了让注入的动态库和外部进程和驱动安全通信,Sandboxie在服务进程打开设设备,并复制句柄,将句柄赋权给注入进程。这样其他的进程就可以访问设备了。 打开设备: RtlInitUnicodeString(&uni, API_DEVICE_NAME); InitializeObjectAttrib...
[Cuckoo SandBox]注入原理篇
推理小孩的博客
03-06 1033
[Cuckoo SandBox]注入原理篇 1.LoadExe 接python版本 通过调用LoadExe去加载Dll进行注入 所以先看LoadExe 加载器的功能吧 通过python管道接收到  processID,ThreadID,路径 ,然后就开始搞事情了注入了 接收原理 管道具有传递命令行参数专递的作用,利用其进程间通信的功能,通过命令...
沙盘 注入DLL
weixin_33827590的博客
11-22 304
2019独角兽企业重金招聘Python工程师标准>>> ...
加密与解密:注入
weixin_49777720的博客
03-16 382
文章目录DLL注入放发通过干预输入表处理过程加载目标DLL静态修改PE输入标法进程创建期修改PE输入表法输入表项DLL替换法改变程序运行流程使其主动加载目标DLLCreateRemote Threadz法利用系统机制加载DLL DLL是Windows平台提供的一种模块共享和重用机制,它本身不能直接独立执行,但可以被加载到其他进程间执行,对灵活实现各种补丁功能非常有帮助。 DLL注入放发 程序加载DLL时间: 在进程创建阶段加载(静态输入) 调用LoadLibrary主动加载(动态加载) 由于系统机制的要
沙盘Sandboxie v5.28.exe
06-02
5.28,直装破解版.别修改默认目录,会导致破解失败!win10卸载应用在win10应用心卸载.
沙盘 sandboxie v5.43.6文免费版
12-22
允许你在沙盘环境运行浏览器或其他程序,因此运行所产生的变化可以随后删除。可用来消除上网、运行程序的痕迹,也可用来还原收藏夹、主页、注册表。此外,还可用于测试软件,测试病毒等工作。使用方法即使在沙盘...
沙盒隔离箱Sandboxie 5.42.1 x64.exe
09-02
沙盒隔离箱,可以把你的某些软件或者某些网页在一个独立的环境打开,而不会影响你的本机,也不会留下任何记录,防毒,防注册表利器,这是破节过的版本,安装直接用即可
沙盘 sandboxie v5.45.1文免费版
01-02
允许你在沙盘环境运行浏览器或其他程序,因此运行所产生的变化可以随后删除。可用来消除上网、运行程序的痕迹,也可用来还原收藏夹、主页、注册表。此外,还可用于测试软件,测试病毒等工作。使用方法即使在沙盘...
Sandboxie.exe安装包
11-16
Sandboxie(又叫沙箱、沙盘)即是一个虚拟系统程序,允许你在沙盘环境运行浏览器或其他程序,因此运行所产生的变化可以随后删除。它创造了一个类似沙盒的独立作业环境,在其内部运行的程序并不能对硬盘产生永久性的...
白话解说,半分钟就懂 ---沙盒技术
瑞新の博客:bennyrhys
05-07 1411
渊源 沙盒技术是浏览器和其他应用程序保护安全的一种组件关系设计模式,最初发明人为GreenBorder公司。2007年5月,谷歌公司收购了该公司,也将此项专利应用于chrome浏览器的研发。 介绍 “沙盒”技术与主动防御技术原理截然不同。主动防御是发现程序有可疑行为时立即拦截并终止运行。“沙盒”技术则是发现可疑行为后让程序继续运行,当发现的确是病毒时才会终止。“沙盒”技术的实践运用流程是:让疑...
linux进程内存变化,linux – 进程的峰值内存使用情况
weixin_30188669的博客
04-29 1040
您可以在以下位置获取某个进程的峰值内存使用情况:grep VmPeak /proc/$PID/status(将$PID更改为您正在寻找的实际进程ID).VmPeak是进程自启动以来使用的最大内存量.为了跟踪进程的内存使用情况,您可以使用名为munin的工具进行跟踪,并向您显示内存使用情况随时间变化的精确图表.Munin附带了许多用于跟踪系统资源的默认插件,但它没有附带跟踪Peak内存使用的插件 –...
调试wow64进程
xbgprogrammer的专栏
09-29 4629
当使用64位debugger调试wow64进程时,cpu context默认为64位,这是查看wow64进程调用栈时,会发现只有64位调用栈,而没有32位调用栈,例如查看32位notepad进程在64位Windows上的主线程调用栈: fffff880`0382b740 fffff800`03eea992: nt!KiSwapContext+0x7a fffff880`0382b880 ffff
沙盘Sandboxie 原理分析
xcntime的专栏
08-23 5699
Sandboxie. Process isolation with kernel hooks. May 23rd, 2011 Posted in Uncategorized Write comment 1. Introduction: Sandboxie
沙箱机制(Sandboxie
清平乐的技术专栏
05-20 1535
一、沙箱是什么? 沙箱是一个虚拟系统程序,沙箱提供的环境相对于每一个运行的程序都是独立的,而且不会对现有的系统产生影响。开发测试阶段,应用需要在沙箱环境进行开发,开发完成后可选择正式环境测试。 二、沙箱的应用 (1)搭建测试环境。沙箱的应用只能访问自己的应用访问目录,而不能应用之间的资源进行共享,这样就形成了一个相对安全的机制,由于沙箱具有非常良好的独立性、隔离性,所以能够搭建一些具有高风险的软件进行测试。   (2)应用容器的利用,如Docker就是完全使用沙箱机制,这样使得应用组件经过Docker的封装
LdrInitializeThunk 解析
热门推荐
趁着年轻,希望我们不会让自己失望
06-26 1万+
LdrInitializeThunk()    Windows 的 DLL 装入(除 ntdll.dll 外)和连接是通过 ntdll.dll 的一个函数LdrInitializeThunk()实现的.    在进入这个函数之前,目标 EXE 映像已经被映射到当前进程的用户空间,系统 DLL ntdll.dll 的映像也已经被映射, 但是并没有在 EXE 映像与 ntdll.dll 映像之间
Sandboxie shellcode lowlevel加载pdb进行调试
joinpark的专栏
08-12 241
首先查看LdrInitializeThunk的指令,查看之前的文章(),看到如下的信息: 001>u 0x000000007775c320 ntdll!LdrInitializeThunk: 00000000`7775c320 e90b47a088 jmp 00000000`00160a30 这个是跳转到entry.asm 001>u00000000`00160a30 00000000`00160a30 4883ec28 sub rsp,28h...
关于Win7 x64下过TP保护(应用层)(转)
weixin_30565327的博客
07-21 1054
非常感谢大家那么支持我上一篇教程。Win10 快出了,所以我打算尽快把应用层的部分说完。调试对象:DXF调试工具:CE、OD、PCHunter、Windbg调试先言:TP的应用层保护做得比较多,包括对调试器的检测,比如CE工具会被DXF报非法。有的保护还是内核与应用层交替保护。应用层:1、TP让调试器卡死(内核互动)现象:<ignore_js_op>如图,TP会检测调试器让调试器暂...
sandboxie sboxdll 注入
最新发布
10-11
当一个程序在Sandboxie环境运行时,sboxdll注入会在运行过程Sandboxie的DLL注入到程序的进程。这样一来,Sandboxie就可以将程序运行在一个隔离的虚拟环境,以确保程序的运行不会对主机系统产生任何危害。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值