HOOK
文章平均质量分 81
joinpark
这个作者很懒,什么都没留下…
展开
-
Sandboxie注入notepad.exe进程空间中的变化
m_LdrInitializeThunk = 0x000000007775c320正常的代码000000007775C320 push rbx 000000007775C322 sub rsp,20h 000000007775C326 mov rbx,rcx 000000007775C329 call 000000007775C350 000000007775C32E mov dl,1 000000...原创 2021-08-12 17:01:20 · 182 阅读 · 0 评论 -
Sandboxie注入过程
沙箱进程启动后驱动获取了进程启动信息,通知到svc进程。svc进程执行Inject_low。首先在目标进程中申请一个空间,地址remote_addr,长度lowdata的长度,将LowData放进去。这个数据是一个dll,工程是LowLevel,作为资源放在svc中,在注入前已经释放出来。申请的空间中的数据如图entry.asm。申请数据分成两部分,一部分是.text执行代码,一部分是.zzzz。其中.zzzz包含两个指针,一个是_Start,指向了运行代码的位置,这个很关键,这是程..原创 2021-08-12 16:57:23 · 694 阅读 · 0 评论 -
Sandboxie shellcode lowlevel加载pdb进行调试
首先查看LdrInitializeThunk的指令,查看之前的文章(),看到如下的信息:001>u 0x000000007775c320ntdll!LdrInitializeThunk:00000000`7775c320 e90b47a088 jmp 00000000`00160a30这个是跳转到entry.asm001>u00000000`00160a3000000000`00160a30 4883ec28 sub rsp,28h...原创 2021-08-12 16:56:09 · 235 阅读 · 0 评论 -
Sandboxie按需HOOK
很多hook,为了挂载一些函数会直接load相关的dll,然后加载。或者因为依赖关系的原因相应的dll会被加载,这有时候会导致有些进程加载一些不必要的dll。我们看Sandboxie的处理。Sandboxie对在初始化的时候挂载了LdrQueryImageFileExecutionOptions进程加载dll完成后会调用该函数,此时可根据当前加载的dll的信息,对该dll相关的函数进行hook。_FX void Ldr_MyDllCallbackA(const CHAR *ImageN原创 2021-02-11 11:17:02 · 365 阅读 · 0 评论