Sandboxie注入过程

最新推荐文章于 2024-07-24 11:51:27 发布
最新推荐文章于 2024-07-24 11:51:27 发布
阅读量764 收藏 1
点赞数 1
分类专栏: 调试 驱动注入 HOOK
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/joinpark/article/details/113752073
版权
本文详细介绍了Sandboxie的注入过程,从沙箱进程启动后驱动如何获取进程信息,到svc进程执行Inject_low进行dll注入。讲解了如何在目标进程中分配内存,填充SBIEOW_DATA结构,以及LdrInitializeThunk_tramp、api_device_handle、NtDelayExecution_code等关键数据的处理。最后,讨论了m_sbielow_ptr和m_syscall_data的生成过程,涉及资源解码和驱动交互。
摘要由CSDN通过智能技术生成

 

 

沙箱进程启动后驱动获取了进程启动信息,通知到svc进程。

svc进程执行Inject_low。

首先在目标进程中申请一个空间,地址remote_addr,长度lowdata的长度,将LowData放进去。这个数据是一个dll,工程是LowLevel,作为资源放在svc中,在注入前已经释放出来。

申请的空间中的数据如图entry.asm。

申请数据分成两部分,一部分是.text执行代码,一部分是.zzzz。

其中.zzzz包含两个指针,一个是_Start,指向了运行代码的位置,这个很关键,这是程序的入口位置。

另一个指向SBIEOW_DATA。

这个结构是Inject_low要做的一个重要工作:填充该结构中的数据。这个结构会被entry.asm使用来进行初始化。

要填充这个数据,需要知道这个数据的位置,方法就是采用.zzzz的数据节(section)。找到这个节之后,就找到了这个数据相对于remote_addr的位置。

填充lowdata数据包括:LdrInitializeThunk_tramp,api_device_handle,syscall_data,NtDelayExecution_code

LdrInitializeThunk_tramp 最初是从目标进程中拷贝的。(    void *remote_addr = InjectLow_CopyCode(hProcess,

最低0.47元/天 解锁文章
joinpark
关注
专栏目录
Sandboxie源码分析(文件系统篇)
wurlin的博客
06-30 978
从文件系统的角度来分析Sandboxie的沙箱技术原理。
Sandboxie注入notepad.exe进程空间中的变化
joinpark的专栏
08-12 204
m_LdrInitializeThunk = 0x000000007775c320 正常的代码 000000007775C320 push rbx 000000007775C322 sub rsp,20h 000000007775C326 mov rbx,rcx 000000007775C329 call 000000007775C350 000000007775C32E mov dl,1 000000...
[Cuckoo SandBox]注入原理篇
推理小孩的博客
03-06 1090
[Cuckoo SandBox]注入原理篇 1.LoadExe 接python版本 通过调用LoadExe去加载Dll进行注入 所以先看LoadExe 加载器的功能吧 通过python管道接收到  processID,ThreadID,路径 ,然后就开始搞事情了注入了 接收原理 管道具有传递命令行参数专递的作用,利用其进程间通信的功能,通过命令...
Windows Sandboxie 介绍
最新发布
zhangyihu321的专栏
07-24 214
sandboxie
沙盘 注入DLL
weixin_33827590的博客
11-22 324
2019独角兽企业重金招聘Python工程师标准>>> ...
Sandboxie注入库对进程外资源的安全访问
joinpark的专栏
02-08 508
有些情况下需要让注入的库和外部进程或驱动通信, 很多情况下可以直接让动态库通过rpc或打开设备进行通信,但是这也就意味着其他的任何程序只要符合该接口标准都可以通过这些接口进行通信。 为了让注入的动态库和外部进程和驱动安全通信,Sandboxie在服务进程中打开设设备,并复制句柄,将句柄赋权给注入进程。这样其他的进程就可以访问设备了。 打开设备: RtlInitUnicodeString(&uni, API_DEVICE_NAME); InitializeObjectAttrib...
[转]Sandboxie 的工作原理
weixin_30835649的博客
04-11 1551
Sandboxie 的工作原理 术语解释 Sandboxie 4.x 工作原理的一个示意图 hx1997 解说 Sandboxie 4.x 的工作原理 Sandboxie 3.x 的工作原理 术语解释为了帮助大家理解后面的内容,在下抄了些术语解释在这里: 钩子:本术语解释引自 http://www.oschina.net/question/565065_6...
sandboxie sboxdll 注入
10-11
当一个程序在Sandboxie环境中运行时,sboxdll注入会在运行过程中将Sandboxie的DLL注入到程序的进程中。这样一来,Sandboxie就可以将程序运行在一个隔离的虚拟环境中,以确保程序的运行不会对主机系统产生任何危害。 ...
64位Sandboxie补丁文件及签名工具
08-09
需要注意的是,非法或未经验证的驱动签名可能会导致系统不稳定,因此在操作过程中,务必确保所有步骤都是在合法且安全的环境中进行的。此外,对于非专业用户,这种操作可能存在一定的风险,因此推荐由具备相关技术...
Sandboxie shellcode lowlevel加载pdb进行调试
joinpark的专栏
08-12 261
首先查看LdrInitializeThunk的指令,查看之前的文章(),看到如下的信息: 001>u 0x000000007775c320 ntdll!LdrInitializeThunk: 00000000`7775c320 e90b47a088 jmp 00000000`00160a30 这个是跳转到entry.asm 001>u00000000`00160a30 00000000`00160a30 4883ec28 sub rsp,28h...
android 沙箱 逆向,【原创】沙箱Sandboxie v3.40 逆向完整源码
weixin_29388659的博客
06-04 680
【前序】是土耳其人2006年开发的一个轻量级小型沙箱,至今仍有很多人使用,作者也一直在维护更新。当时国内做沙箱的还没有几家,大概有Comodo、卡巴斯基等大的安全厂商做过内置沙箱,不过功能性偏重不同,用户体验跟sandboxie有很大差距。我在09年的时候使用过Sandboxie一段时间,感觉做的不错,对其实现非常感兴趣,于是当时花了大量的业余时间进行逆向重写,整个过程耗时1年多。后来由于工作繁忙...
易语言无模块注入_[笔记]利用JVM SandBox注入异常
weixin_39874379的博客
11-23 731
题记:大名鼎鼎的ChaosBlade(混沌工具)和 jvm-sandbox-repeater(无侵入录制回放工具)底层都是基于JVM SandBox。JVM SandBox 使用起来非常很简单,但是 JVM SandBox 背后所涉及到的底层技术原理、实现细节却不简单,比如 Java Agent、Attach、JVMTI、Instrument、Class 字节码修改、ClassLoade...
沙盘Sandboxie 原理分析
xcntime的专栏
08-23 5826
Sandboxie. Process isolation with kernel hooks. May 23rd, 2011 Posted in Uncategorized Write comment 1. Introduction: Sandboxie
能上QQ,却不能上网的解决办法
Martix
03-04 3688
前言:本文介绍了六种引起不能上网的原因,并一一提供了解决方法。希望对碰到不能上网、能上QQ不能上网等问题的读者有所帮助。  正文  前几日,家中电脑网络出现问题,具体表现为网页无法打开,但QQ却能正常登录。后经高手指点后终于摆平。上网查阅有关资料,发现造成这一问题的原因是多种多样的,于是整理出来与各位分享。以后碰到不能上网的问题也可轻松解决。一、感染了病毒所致  这种情况往往表
Sandboxie-沙箱软件-编译说明-模块解析
插件开发
02-17 1451
LowLevel.dll作为资源嵌入到SbieSvc.exe中(参见core\svc\lowlevel.rc)。目录SandboxWUAU(\apps\com\WUAU)。目录SandboxRpcSs(\apps\com\RpcSs)。目录Common(\apps\common)。目录SbieIni(\apps\ini)。目录SboxDcomLaunch(\apps\com\DcomLaunch)。目录SboxDll(\core\dll)。创建Sbie注入DLL。目录Start(\apps\start)。
Sandboxie源码分析【hook源头分析】
wurlin的博客
07-12 627
研究Sandboxie知道,在Sandboxie一开始加载子进程时,就已经开始了hook工作。那Sandboxie究竟是在哪一节点开始介入的呢?本篇进行追根溯源。
vmware Dos声卡驱动安装说明
vs9841
03-10 6176
Vmware虚拟机中dos\win3.1声卡驱动,Vmware使用虚拟创新SB16声卡来实现的。在dos下执行install.exe就可以开始安装了。同时注意查看虚拟机的vmx文件,是不是有这样几条,如果没有就要添加进去: sound.present = "TRUE" sound.virtualDev = "sb16" sound.autodetect = "TRUE" vmware do
更改netbios计算机名,如何修改NetBios computer name,使得与计算机名稱统一
weixin_35907598的博客
07-29 800
由于WIN7修改计算机名显示时只能用大写,而且不允许带“.”,有很多命名限制,实在很不方便,而网上一些软件的命名又不起作用,无奈之下编写了这个注册表,可以替换掉所有键值中的的计算机名,实现无残留替换。同样,复制下面部分到文本文档,另存为.REG文件,导入即可。(st.shadowalker)部分可自行替换为想命名的名字(请使用记事本的替换功能,很方便)。 Windows Registry Edit...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值