Sandboxie源码分析【hook源头分析】

于 2023-07-12 19:50:12 发布
阅读量591 收藏 2
点赞数 4
文章标签: 汇编 windows C++ 操作系统
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wurlin/article/details/131688466
版权
本文深入探讨Sandboxie如何在启动子进程时进行hook操作。通过分析汇编代码,揭示了在64位和32位环境下,Sandboxie介入的关键点在于FindActCtxSectionString函数,以此接管进程加载,实现全面的hook工作。文章详细阐述了函数调用链,并以流程图形式总结了整个过程。
摘要由CSDN通过智能技术生成

研究Sandboxie知道,在Sandboxie一开始加载子进程时,就已经开始了hook工作。
那Sandboxie究竟是在哪一节点开始介入的呢?
本篇进行追根溯源。

上一篇提到,Dll_InitInjected()中对许多模块进行了初始化:
初始化
这时候,Sandboxie已经在对子进程模块进行hook工作了。

Dll_InitInjected()的上一层是Dll_Ordinal1(),再上一层就是汇编代码了。而汇编代码的调用又有64位和32位的区别。

注意:本文提到的64位是指,在64位操作系统下运行的64位程序。32位是指,在64位操作系统下运行的32位程序,即wow64

在64位中,Dll_Ordinal1()entry_asm.asm中被调用:
entry_asm
32位在lowlevel_code.c中调用:

最低0.47元/天 解锁文章
雾语o-o
关注
  • 4
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
剑和沙盒 4 - 编译Sandboxie源代码
ms44的专栏
07-26 49
获取下来后,主工程在目录Sandboxie中。
Sandboxie源码分析(文件系统篇)
最新发布
wurlin的博客
06-30 893
从文件系统的角度来分析Sandboxie的沙箱技术原理。
sandbox = 源码解析01-启动加载过程
wwHRestarting的博客
11-17 1289
文件路径 所属类.方法 逻辑 备注 ${sandbox_home}/bin/sandbox.sh attach_jvm java -jar "${SANDBOX_LIB_DIR}/sandbox-core.jar" ${SANDBOX_JVM_OPS} "${TARGET_JVM_PID}" "${SANDBOX_LIB_DIR}/sandbox-agent.jar" \ "home=...
沙盘Sandboxie 原理分析
xcntime的专栏
08-23 5753
Sandboxie. Process isolation with kernel hooks. May 23rd, 2011 Posted in Uncategorized Write comment 1. Introduction: Sandboxie
沙箱Sandboxie 逆向完整源码
08-15
沙箱Sandboxie v3.40 逆向完整源码
Sandboxie:Sandboxie-开源
03-19
沙盒 Sandboxie是用于32位和64位基于Windows NT的操作系统的基于沙盒的隔离软件。它创建了一个类似于沙盒的隔离操作环境,在其中可以运行或安装应用程序,而无需永久修改本地和映射驱动器或Windows注册表。隔离的虚拟环境允许对不受信任的程序和Web冲浪进行受控测试。 项目维护 2004年-2013年Ronen Tzur 2013年-2017年Invincea Inc. 2017年-2020年Sophos Group plc 开源发行 2020年起David Xanatos 有用的贡献者 DavidBerdik-沙盒网站存档的作者 Diversitynok-安全分析和PoC stephtr-CI /认证 TechLord-团队IRA /反向 hg421-安全性分析 typpos-用户界面建议/文档/代码审查 isaak654-UI修复/模板/文档 cricri-ping
一个Python开源项目-哈勃沙箱源码剖析(下)
七夜的博客
01-13 459
一个Python开源项目-哈勃沙箱源码剖析(下) 前言 在上一篇中,我们讲解了哈勃沙箱的技术点,详细分析了静态检测和动态检测的流程。本篇接着对动态检测的关键技术点进行分析,包括strace,sysdig,volatility。volatility的介绍不会太深入,内存取证这部分的研究还需要继续。 strace机制 上一篇讲到了strace和ltra...
Sandboxie-沙箱软件-编译说明-模块解析
插件开发
02-17 1375
LowLevel.dll作为资源嵌入到SbieSvc.exe中(参见core\svc\lowlevel.rc)。目录SandboxWUAU(\apps\com\WUAU)。目录SandboxRpcSs(\apps\com\RpcSs)。目录Common(\apps\common)。目录SbieIni(\apps\ini)。目录SboxDcomLaunch(\apps\com\DcomLaunch)。目录SboxDll(\core\dll)。创建Sbie注入DLL。目录Start(\apps\start)。
sandboxie沙箱源码
05-12
一种沙箱实现的代码
Sandboxie 5.40 源码.zip
04-12
代码说明 ...\install\文件夹中还有另一个ReadMe.txt,它说明了如何创建Sandboxie安装程序。 1)Sandboxie在MS Visual Studio 2015下构建。 2)安装MS Windows设备驱动程序工具包(DDK)7.1.0。 ...
sandboxie-master.zip
08-10
通过分析源码,开发人员可以学习如何构建类似的安全隔离环境,如何管理应用程序的内存和文件访问,以及如何实现安全的进程隔离。此外,开源社区可能会对代码进行优化,修复潜在的漏洞,并添加新的功能,使Sandboxie...
通过HOOK来截获中文输入
01-11
通过HOOK来截获中文输入 用VC代码编写
sandboxie逆向源码
06-10
Sandboxie逆向分析源码探讨》 在IT领域,Sandboxie是一个非常知名的软件,它为用户提供了一个安全的环境,可以在其中运行应用程序,而不会对主机系统造成任何潜在的危害。Sandboxie 3.4.0的源码分析,对于理解...
sandboxie:沙盒
04-11
LightCMS 项目简介 lightCMS是一个轻量级的CMS系统,也可以作为一个通用的后台管理框架使用。lightCMS集成了用户管理、权限管理、日志管理、菜单管理等后台管理框架的通用功能,同时也提供模型管理、分类管理等CMS...
Sandboxie沙盘软件.rar
12-29
Sandboxie沙盘软件:安全浏览与应用测试的得力助手》 Sandboxie,中文名沙盘软件,是一款强大的系统安全工具,它的工作原理是通过创建一个虚拟的运行环境,将应用程序运行在其中,使得任何对系统的修改都不会影响...
Sandboxie-5.40.1.zip
06-15
Sandboxie是一款知名的Windows操作系统安全工具,其5.40.1版本的源码提供了对这款软件工作原理的深入理解。Sandboxie的核心功能是创建一个虚拟的“沙箱”环境,让用户可以在其中运行应用程序而不影响系统本身,尤其...
转:Sandboxie分析
weixin_33924770的博客
07-06 812
Sandboxie. Process isolation with kernel hooks. 1. Introduction: Sandboxie is a sandbox that performs a process isolation. Its main features: -Access control to kernel res...
JVM-SandBox 源码解析-代码增强植入篇
a415944895的博客
07-18 1199
JVM-Sandbox源码解析,增强业务代码逻辑
sandbox = 源码解析03-流量回放
wwHRestarting的博客
11-17 273
文件路径 所属类.方法 逻辑 备注 ${repeater_home}/repeater-module.jar com.alibaba.jvm.sandbox.repeater.module.RepeaterModule.initialize // 装载消息订阅器 List<SubscribeSupporter> subscribes = lifecycleManager.l...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值