驱动注入
文章平均质量分 87
joinpark
这个作者很懒,什么都没留下…
展开
-
Sandboxie注入过程
沙箱进程启动后驱动获取了进程启动信息,通知到svc进程。svc进程执行Inject_low。首先在目标进程中申请一个空间,地址remote_addr,长度lowdata的长度,将LowData放进去。这个数据是一个dll,工程是LowLevel,作为资源放在svc中,在注入前已经释放出来。申请的空间中的数据如图entry.asm。申请数据分成两部分,一部分是.text执行代码,一部分是.zzzz。其中.zzzz包含两个指针,一个是_Start,指向了运行代码的位置,这个很关键,这是程..原创 2021-08-12 16:57:23 · 694 阅读 · 0 评论 -
Sandboxie shellcode lowlevel加载pdb进行调试
首先查看LdrInitializeThunk的指令,查看之前的文章(),看到如下的信息:001>u 0x000000007775c320ntdll!LdrInitializeThunk:00000000`7775c320 e90b47a088 jmp 00000000`00160a30这个是跳转到entry.asm001>u00000000`00160a3000000000`00160a30 4883ec28 sub rsp,28h...原创 2021-08-12 16:56:09 · 235 阅读 · 0 评论