Sandboxie shellcode lowlevel加载pdb进行调试

最新推荐文章于 2023-07-12 19:50:12 发布
最新推荐文章于 2023-07-12 19:50:12 发布
阅读量241 收藏
点赞数
分类专栏: 调试 HOOK 驱动注入 文章标签: 反汇编
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/joinpark/article/details/113771997
版权

调试之前使用windbg打开notepad观察

00007ffd`23ae0670 cc              int     3
0:000> u ntdll!LdrInitializeThunk
ntdll!LdrInitializeThunk:
00007ffd`23a84b10 4053            push    rbx
00007ffd`23a84b12 4883ec20        sub     rsp,20h
00007ffd`23a84b16 488bd9          mov     rbx,rcx
00007ffd`23a84b19 e81a000000      call    ntdll!LdrInitializeThunk+0x28 (00007ffd`23a84b38)
00007ffd`23a84b1e b201            mov     dl,1
00007ffd`23a84b20 488bcb          mov     rcx,rbx
00007ffd`23a84b23 e8488a0200      call    ntdll!NtContinue (00007ffd`23aad570)
00007ffd`23a84b28 8bc8            mov     ecx,eax
 

为了调试目标进程,可以有多种方法:

1.将windbug放入沙箱,然后再通过windbg启动notepad,为了观察注入的初始化过程,启动后将Loadmodule勾选上

为了方便调试lowlevel,编译的时候打开这一项:

这样在编译目录下可以看到代码和二进制的对应关系文件init.cod和inject.cod

2.使用glfags设置目标进程notepad.exe的调试程序为windbg,将txt放入沙箱,启动,观察

0:000>  u ntdll!LdrInitializeThunk
ntdll!LdrInitializeThunk:
00007ffd`23a84b10 b8c00bbc00      mov     eax,0BC0BC0h
00007ffd`23a84b15 ffe0            jmp     rax
00007ffd`23a84b17 8bd9            mov     ebx,ecx
00007ffd`23a84b19 e81a000000      call    ntdll!LdrInitializeThunk+0x28 (00007ffd`23a84b38)
00007ffd`23a84b1e b201            mov     dl,1
00007ffd`23a84b20 488bcb          mov     rcx,rbx
00007ffd`23a84b23 e8488a0200      call    ntdll!NtContinue (00007ffd`23aad570)
00007ffd`23a84b28 8bc8            mov     ecx,eax
其中

0BC0BC0是跳转的地址。

u 0BC0BC0

0:000> u 0BC0BC0
00000000`00bc0bc0 4883ec28        sub     rsp,28h
00000000`00bc0bc4 48894c2420      mov     qword ptr [rsp+20h],rcx
00000000`00bc0bc9 4889542428      mov     qword ptr [rsp+28h],rdx
00000000`00bc0bce 4c89442430      mov     qword ptr [rsp+30h],r8
00000000`00bc0bd3 4c894c2438      mov     qword ptr [rsp+38h],r9
00000000`00bc0bd8 e800000000      call    00000000`00bc0bdd  这个地方是EntrypointC
00000000`00bc0bdd 59              pop     rcx
00000000`00bc0bde 488bd9          mov     rbx,rcx

按照该位置加载LowLevel地址,dll长度0x2000,如下加载符号表

.reload lowlevel=00BC0BC0,2000

加载完毕,查找lowlevel所有的符号:

00000000`00bc0bde 488bd9          mov     rbx,rcx
0:000> x lowlevel!*
00000000&

最低0.47元/天 解锁文章
joinpark
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shell脚本获取oracle pdb
hbhe0316的专栏
03-24 1714
#!/bin/ksh ############################################################################################################### #Script name: show_oracle_mode.sh #Script description: show oracle pdb name for multi pdbs. #Current Release Version: 1.0.0 #Script O
sandbox-debugger:节点的沙箱调试
05-01
沙盒调试器 使用chrome://inspect或node-inspect在任何地方调试进程 节点调试端口9229 ⟷ 沙盒调试客户端 ⟷ 沙盒调试代理 使用交互式调试调试方式与对本地进程的调试方式相同。 支持运行进程 在无法ssh /无法访问的机器上 在没有暴露端口的Docker容器中 在 在 在 在 在 在 在 在Runkit上 允许出站Internet通讯到端口80的任何地方 这个怎么运作? 节点在调试模式下打开websocket时,沙盒服务器和客户端都通过代理通过管道传递websocket数据来工作。 运行沙箱服务器 该服务器用作调试消息的关守。 npx sandbox-debugger-server 或者 ᐅ docker run \ --name sandbox-debugger \ -ti \ --rm \ -p 92
Sandbox 入门(打包、安装、启动、调试、日志)
xiaolyuh的专栏
11-09 2227
JVM-SANDBOX(沙箱)实现了一种在不重启、不侵入目标JVM应用的AOP解决方案。 SANDBOX 入门(打包、安装、启动、调试
【问题解决】shellcode无法执行
qq_35349673的博客
06-24 700
[问题解决]shellcode无法执行
Sandboxie-沙箱软件-编译说明-模块解析
插件开发
02-17 1167
LowLevel.dll作为资源嵌入到SbieSvc.exe中(参见core\svc\lowlevel.rc)。目录SandboxWUAU(\apps\com\WUAU)。目录SandboxRpcSs(\apps\com\RpcSs)。目录Common(\apps\common)。目录SbieIni(\apps\ini)。目录SboxDcomLaunch(\apps\com\DcomLaunch)。目录SboxDll(\core\dll)。创建Sbie注入DLL。目录Start(\apps\start)。
Sandboxie-Plus-x86-v1.0.20.exe
05-09
隔离的虚拟环境允许对不受信任的程序和网上冲浪进行受控测试。Sandboxie 有两种版本,Plus 和 Classic。它们都共享相同的核心组件,这意味着它们具有相同级别的安全性和兼容性。不同的是用户界面中功能的可用性。
Sandboxie Classic v5.48.5.zip
02-26
影子系统是对整个系统进行保护,而 Sandboxie是对电脑的局部进行保护。Sandboxie一般是设置某个程序在“沙盘”中运行,而不是将整个Windows都置于“影子”模式下。也就是可以很灵活地设置一个或几个觉得“危险”的...
sandboxie-master.zip
08-10
在被Sophos收购后,由于种种原因Sandboxie走上了免费的道路,而其宣布代码开源,大家可以通过代码修改成适合自己的沙盘工具了
Sandboxie 5.40 源码.zip
04-12
代码说明 ...\install\文件夹中还有另一个ReadMe.txt,它说明了如何创建Sandboxie安装程序。 1)Sandboxie在MS Visual Studio 2015下构建。 2)安装MS Windows设备驱动程序工具包(DDK)7.1.0。 ...
Sandboxie-Plus-x64-v1.0.20.exe
05-09
隔离的虚拟环境允许对不受信任的程序和网上冲浪进行受控测试。Sandboxie 有两种版本,Plus 和 Classic。它们都共享相同的核心组件,这意味着它们具有相同级别的安全性和兼容性。不同的是用户界面中功能的可用性。
Sandboxie源码分析【hook源头分析】
wurlin的博客
07-12 524
研究Sandboxie知道,在Sandboxie一开始加载子进程时,就已经开始了hook工作。那Sandboxie究竟是在哪一节点开始介入的呢?本篇进行追根溯源。
沙盒(沙箱)测试
热门推荐
沉觞的博客
06-22 1万+
沙盒(沙箱)测试沙盒的概念沙盒环境沙盒测试 沙盒的概念 有时沙盒也叫沙箱,英文sandbox。在计算机领域指一种虚拟技术,且多用于计算机安全技术。其原理是通过重定向技术,把程序生成和修改的文件定向到自身文件夹中。当某个程序试图发挥作用时,安全软件可以先让它在沙盒中运行,如果含有恶意行为,则禁止程序的进一步运行,而这不会对系统造成任何危害。 沙盒是在受限的安全环境中运行应用程序的一种做法,这种做法是要限制授予应用程序的代码访问权限。 沙盒环境 沙盒环境又称测试环境和开发环境,是提供给开发者开发和测试用的环境。
得到线程入口地址的方式
weixin_30909575的博客
01-13 487
要获取入口地址,可以用Native API: NtQueryInformationThread,以ThreadQuerySetWin32StartAddress为参数 具体代码: .h: #pragma once typedef LONG NTSTATUS; typedef NTSTATUS (WINAPI *NTQUERYINFORMATIONTHREAD)( HANDLE Th...
windows内核情景分析---进程线程
maomao171314的专栏
04-04 3293
本篇主要讲述进程的启动过程、线程的调度与切换、进程挂靠 进程的启动过程: BOOL CreateProcess (   LPCTSTR lpApplicationName,                 //   LPTSTR lpCommandLine,                      // command line string   LPSECURITY_ATTRIBU
沙盘Sandboxie命令行(Windows)
replat-xin
01-11 4076
沙盘程序可以使用dos命令和相关参数完成下列功能。 Start启动:在沙盘中运行程序 Stop 停止:关闭沙盘程序 List列表:显示在闪盘中运行的程序列表 Delete 删除:删除沙盘中的内容 Reload重载:重新载入沙盘配置 Disable Forced Programs禁用强制程序 程序启动 沙盘程序可以根据一个可执行程序的绝对路径和相对路径,在沙盘中运行此程序: "C:\Progra...
Hook : N种内核注入DLL的思路及实现
it技术学习
01-10 2169
内核注入,技术古老但很实用。现在部分RK趋向无进程,玩的是SYS+DLL,有的无文件,全部存在于内存中。可能有部分人会说:“都进内核了.什么不能干?”。是啊,要是内核中可以做包括R3上所有能做的事,软件开发商们也没必要做应用程序了。有时,我们确实需要R3程序去干驱动做起来很困难或者没必要驱动中去做的事,进程 /  DLL是不错的选择,但进程目标太大,所以更多的同学趋向于注DLL。
Sandboxie注入notepad.exe进程空间中的变化
joinpark的专栏
08-12 182
m_LdrInitializeThunk = 0x000000007775c320 正常的代码 000000007775C320 push rbx 000000007775C322 sub rsp,20h 000000007775C326 mov rbx,rcx 000000007775C329 call 000000007775C350 000000007775C32E mov dl,1 000000...
拦截进程创建(不会卡死桌面)
kingswb的博客
05-23 1269
标 题: 【原创】拦截进程创建(不会卡死桌面) 作 者: bycon 时 间: 2011-01-28,16:44:32 链 接: http://bbs.pediy.com/showthread.php?t=128733 菜鸟作品,大牛请无视。如有错误或纰漏,望指出   之前看过很多关于进程创建的拦截,都是勾在NtCreateProcess或者NtCreateSection上,拦截到
Windows x64内核中修改进程入口点
muy的专栏
07-05 2697
现如今Windows x64已经很普遍了。基于内核驱动,监视进程创建,在进程主线程启动之前修改其入口点以便执行一段自己的代码是十分有用的。本文以Windows 7 x64为基础,对这个问题进行了尝试。
sandboxie sboxdll 注入
最新发布
10-11
Sandboxie的sboxdll注入是一种安全技术,它用于在运行的程序中注入Sandboxie的动态链接库(DLL),从而实现对程序的隔离和保护。 当一个程序在Sandboxie环境中运行时,sboxdll注入会在运行过程中将Sandboxie的DLL...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值