Sandboxie按需HOOK

最新推荐文章于 2022-07-25 13:11:09 发布
最新推荐文章于 2022-07-25 13:11:09 发布
阅读量371 收藏 1
点赞数
分类专栏: 安全 HOOK
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/joinpark/article/details/113789014
版权

很多hook DLL,为了挂载一些函数会直接load相关的dll,然后加载。或者因为依赖关系的原因相应的dll会被加载,这有时候会导致有些进程加载一些不必要的dll。

我们看Sandboxie的处理。

Sandboxie对在初始化的时候挂载了

LdrQueryImageFileExecutionOptions

进程加载dll完成后会调用该函数,该函数最后调用Ldr_MyDllCallbackA,在Ldr_MyDllCallbackA中根据当前加载的dll的信息,对该dll相关的函数进行hook的初始化。


_FX void Ldr_MyDllCallbackA(const CHAR *ImageName, HMODULE ImageBase)
{
    //
    // invoke our sub-modules as necessary
    //
    if (ImageBase) {

        DLL *dll = Ldr_Dlls;
        while (dll->nameA) {
            if (_stricmp(ImageName, dll->nameA) == 0) {
                BOOLEAN ok = dll->init_func(ImageBase);
                if (!ok)
                    SbieApi_Log(2318, dll->nameW);
                break;
            }
            ++dll;
        }
    }
}

堆栈如下:
Call Site
SbieDll!AdvApi_Init [e:\sandboxie5.40\core\dll\advapi.c @ 173] 
SbieDll!Ldr_MyDllCallbackA+0x61 [e:\sandboxie5.40\core\dll\ldr.c @ 1073] 
SbieDll!Ldr_CallOneDllCallback+0x3b [e:\sandboxie5.40\core\dll\ldr.c @ 651] 
SbieDll!Ldr_CallDllCallbacks+0x276 [e:\sandboxie5.40\core\dll\ldr.c @ 820] 
SbieDll!Ldr_LdrQueryImageFileExecutionOptions+0x25 [e:\sandboxie5.40\core\dll\ldr.c @ 1026] 
ntdll!RtlIsDosDeviceName_U+0x4674
ntdll!RtlCreateUnicodeStringFromAsciiz+0xea
ntdll!LdrLoadDll+0x9e
SbieDll!Ldr_LdrLoadDll+0x5c [e:\sandboxie5.40\core\dll\ldr.c @ 888] 
KERNELBASE!LoadLibraryExW+0x19c
KERNELBASE!LoadLibraryExA+0x51
chrome!IsSandboxedProcess+0x84365
chrome!IsSandboxedProcess+0xb3e4e
0xaaaaaaaa`00000000
0x8de670
0x1
0x8de650

joinpark
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Sandboxie源码分析【hook源头分析】
wurlin的博客
07-12 540
研究Sandboxie知道,在Sandboxie一开始加载子进程时,就已经开始了hook工作。那Sandboxie究竟是在哪一节点开始介入的呢?本篇进行追根溯源。
Sandboxie源码分析(文件系统篇)
wurlin的博客
06-30 801
从文件系统的角度来分析Sandboxie的沙箱技术原理。
Sandbox FAQ
啊渊的专栏
07-23 282
Sandbox FAQWhat is the sandbox?What does and doesn't it protect against?Is the sandbox like what you get with the Java VM?How can you do this for C++ code if there is no virtual machine?Doesn't Vista have similar functionality?Isn't that a lot of work?Shou
强制运行受限程序
zzmzzff的博客
05-13 1274
  运行一个EXE程序如果出现无法运行的情况,比如受限制或者程序被替换掉,一般有两种情况,第一种是外壳限制。双击一个程序通常调用Shell开头的函数来执行,比如ShellExecute,这个函数并非真正执行了EXE,而是会做出许多选择,例如是否被外壳限制(注册表RestrictRun项),检查文件的关联等。第二种是执行限制。当EXE文件关联被改变的情况下,Windows的任务管理器还是可以运行的,...
Github每日精选(第7期):Sandboxie Windows下的沙盒
haleycat的博客
07-25 3344
在手机上对于沙盒我们再熟悉不够了,我们的每个应用的运行在独立的空间中,避免手机中不同应用的相互影响。
sandboxie-master.zip
08-10
标题中的“sandboxie-master.zip”表明这是一个与Sandboxie相关的源码压缩包,而Sandboxie是一款著名的沙盒软件。沙盒技术是一种安全机制,它允许用户在一个隔离的环境中运行应用程序,防止它们对系统造成永久性的...
Sandboxie 5.40 源码.zip
04-12
代码说明 ...\install\文件夹中还有另一个ReadMe.txt,它说明了如何创建Sandboxie安装程序。 1)Sandboxie在MS Visual Studio 2015下构建。 2)安装MS Windows设备驱动程序工具包(DDK)7.1.0。 ...
Sandboxie沙盘软件.rar
12-29
5. **系统还原**:如果在沙箱内的操作导致了问题,只简单地删除沙箱,即可恢复到操作前的状态,无复杂的系统还原或修复步骤。 6. **多任务隔离**:Sandboxie可以同时运行多个沙箱,每个沙箱之间相互独立,这...
Sandboxie.exe安装包
11-16
Sandboxie(又叫沙箱、沙盘)即是一个虚拟系统程序,允许你在沙盘环境中运行浏览器或其他程序,因此运行所产生的变化可以随后删除。它创造了一个类似沙盒的独立作业环境,在其内部运行的程序并不能对硬盘产生永久性的...
Sandboxie便携版
04-15
Sandboxie,便携版 无安装,不写注册表,Win10 亲测可用。它允许你在“沙盘环境”中运行浏览器或其他程序,在沙盘中运行的程序所产生的变化可以随时删除。可用来保护浏览网页时真实系统的安全,也可以用来清除上网...
APIHOOK可以通过dll载入进程HOOK指定的函数地址
12-17
APIHOOK可以通过dll载入进程HOOK指定的函数,例如LoadLibraryA GetProcAddress 等等
android 沙箱 逆向,【原创】沙箱Sandboxie v3.40 逆向完整源码
weixin_29388659的博客
06-04 636
【前序】是土耳其人2006年开发的一个轻量级小型沙箱,至今仍有很多人使用,作者也一直在维护更新。当时国内做沙箱的还没有几家,大概有Comodo、卡巴斯基等大的安全厂商做过内置沙箱,不过功能性偏重不同,用户体验跟sandboxie有很大差距。我在09年的时候使用过Sandboxie一段时间,感觉做的不错,对其实现非常感兴趣,于是当时花了大量的业余时间进行逆向重写,整个过程耗时1年多。后来由于工作繁忙...
chromium 进程创建分析
hgl868的专栏
11-05 5499
一 chromium for android Browser进程创建过程分析 ContentMainDelegate是客户端程序注册给content_main_runner.cc的回调接口, content_main_runner.cc通过调用ContentMainDelegate的接口来通知客户端 当前Content框架的状态。 客户端程序通过ContentMainDelegate:
Gerrit项目权限设置
面朝大海,春暖花开
09-07 4469
Gerrit项目权限设置 管理员权限   第一步:进入项目     第二步:权限设置     第三步:编辑权限     主要设置了代码查看、提交及代码审查权限。   编辑完成,最后点击保存。...
Android Sandbox(沙箱)开源工具介绍
热门推荐
Walter的专栏
10-28 2万+
android sandbox 通过利用开源工具动态分析、静态分析android的相关应用,发现应用的具体行为,从而进行判断android应用的危险程度,本文重点介绍几款常用工具。 1、droidbox是基于TaintDroid系统构建的Sandbox,通过hook系统api对apk程序进行监控,随着android SDK的不断更新,其也要随之适配。 droidbox:http://c
Windows加载器与模块初始化
lionzl的专栏
08-29 740
在最近的MSJ专栏中,我讨论了COM类型库和数据库访问层,例如ActiveX®数据对象(ADO)和OLE DB。MSJ专栏的长期读者可能认为我已经不行了(写不出技术层次比较高的文章了)。为了重振雄风,这个月我要讲解一部分Windows NT®加载器代码,它是操作系统和你的代码接合的地方。同时我也会向你演示一些获取加载器状态信息的高超技巧,以及可以用在Developer Studio®调试器中的相关...
沙箱、蜜罐原理浅析
N2O_666的博客
05-26 1万+
目录一、沙箱(网络编程虚拟执行环境)1.1 概述1.2 重定向技术1.3 虚拟机和沙箱的区别二、蜜罐2.1 概述2.2 蜜罐诱捕关键能力2.3 反蜜罐技术2.4 蜜罐的思考三、网络欺骗(Cyber Deception) 一、沙箱(网络编程虚拟执行环境) 1.1 概述 Sandboxie(又叫沙箱、沙盘)即是一个虚拟系统程序,在计算机安全领域中是一种安全机制,为运行中的程序提供的隔离环境。 在网络安全中,沙箱指在隔离环境中,用以测试不受信任的、具破坏力的或无法判定程序意图的程序行为的工具。 虚拟系统程序:沙
sandboxie sboxdll 注入
最新发布
10-11
Sandboxie的sboxdll注入是一种安全技术,它用于在运行的程序中注入Sandboxie的动态链接库(DLL),从而实现对程序的隔离和保护。 当一个程序在Sandboxie环境中运行时,sboxdll注入会在运行过程中将Sandboxie的DLL...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值