Sandboxie源码分析【hook源头分析】

于 2023-07-12 19:50:12 发布
阅读量524 收藏 1
点赞数 4
文章标签: 汇编 windows C++ 操作系统
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wurlin/article/details/131688466
版权

研究Sandboxie知道,在Sandboxie一开始加载子进程时,就已经开始了hook工作。
那Sandboxie究竟是在哪一节点开始介入的呢?
本篇进行追根溯源。

上一篇提到,Dll_InitInjected()中对许多模块进行了初始化:
初始化
这时候,Sandboxie已经在对子进程模块进行hook工作了。

Dll_InitInjected()的上一层是Dll_Ordinal1(),再上一层就是汇编代码了。而汇编代码的调用又有64位和32位的区别。

注意:本文提到的64位是指,在64位操作系统下运行的64位程序。32位是指,在64位操作系统下运行的32位程序,即wow64

在64位中,Dll_Ordinal1()entry_asm.asm中被调用:
entry_asm
32位在lowlevel_code.c中调用:

最低0.47元/天 解锁文章
雾语o-o
关注
  • 4
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
qiankun 2.x 运行时沙箱 源码分析
m0_66439275的博客
02-07 2481
源码层面详细讲解了 `qiankun` 框架中的 JS 沙箱 和 样式沙箱的实现原理
Sandboxie源码分析(文件系统篇)
wurlin的博客
06-30 786
从文件系统的角度来分析Sandboxie的沙箱技术原理。
沙箱Sandboxie 逆向完整源码
08-15
沙箱Sandboxie v3.40 逆向完整源码
一个Python开源项目-哈勃沙箱源码剖析(下)
七夜的博客
01-13 446
一个Python开源项目-哈勃沙箱源码剖析(下) 前言 在上一篇中,我们讲解了哈勃沙箱的技术点,详细分析了静态检测和动态检测的流程。本篇接着对动态检测的关键技术点进行分析,包括strace,sysdig,volatility。volatility的介绍不会太深入,内存取证这部分的研究还需要继续。 strace机制 上一篇讲到了strace和ltra...
sandbox = 源码解析01-启动加载过程
wwHRestarting的博客
11-17 1260
文件路径 所属类.方法 逻辑 备注 ${sandbox_home}/bin/sandbox.sh attach_jvm java -jar "${SANDBOX_LIB_DIR}/sandbox-core.jar" ${SANDBOX_JVM_OPS} "${TARGET_JVM_PID}" "${SANDBOX_LIB_DIR}/sandbox-agent.jar" \ "home=...
Sandboxie:Sandboxie-开源
03-19
沙盒 Sandboxie是用于32位和64位基于Windows NT的操作系统的基于沙盒的隔离软件。它创建了一个类似于沙盒的隔离操作环境,在其中可以运行或安装应用程序,而无需永久修改本地和映射驱动器或Windows注册表。隔离的虚拟环境允许对不受信任的程序和Web冲浪进行受控测试。 项目维护 2004年-2013年Ronen Tzur 2013年-2017年Invincea Inc. 2017年-2020年Sophos Group plc 开源发行 2020年起David Xanatos 有用的贡献者 DavidBerdik-沙盒网站存档的作者 Diversitynok-安全分析和PoC stephtr-CI /认证 TechLord-团队IRA /反向 hg421-安全性分析 typpos-用户界面建议/文档/代码审查 isaak654-UI修复/模板/文档 cricri-ping
Sandboxie 5.40 源码.zip
04-12
代码说明 ...\install\文件夹中还有另一个ReadMe.txt,它说明了如何创建Sandboxie安装程序。 1)Sandboxie在MS Visual Studio 2015下构建。 2)安装MS Windows设备驱动程序工具包(DDK)7.1.0。 ...
sandboxie沙箱源码
05-12
一种沙箱实现的代码
sandboxie-master.zip
08-10
在被Sophos收购后,由于种种原因Sandboxie走上了免费的道路,而其宣布代码开源,大家可以通过代码修改成适合自己的沙盘工具了
sandboxie逆向源码
06-10
沙箱 sandboxie 3.4.0 源码
通过HOOK来截获中文输入
01-11
通过HOOK来截获中文输入 用VC代码编写
Sandboxie-沙箱软件-编译说明-模块解析
插件开发
02-17 1167
LowLevel.dll作为资源嵌入到SbieSvc.exe中(参见core\svc\lowlevel.rc)。目录SandboxWUAU(\apps\com\WUAU)。目录SandboxRpcSs(\apps\com\RpcSs)。目录Common(\apps\common)。目录SbieIni(\apps\ini)。目录SboxDcomLaunch(\apps\com\DcomLaunch)。目录SboxDll(\core\dll)。创建Sbie注入DLL。目录Start(\apps\start)。
沙盘Sandboxie 原理分析
xcntime的专栏
08-23 5698
Sandboxie. Process isolation with kernel hooks. May 23rd, 2011 Posted in Uncategorized Write comment 1. Introduction: Sandboxie
转:Sandboxie分析
weixin_33924770的博客
07-06 775
Sandboxie. Process isolation with kernel hooks. 1. Introduction: Sandboxie is a sandbox that performs a process isolation. Its main features: -Access control to kernel res...
JVM-SandBox 源码解析-代码增强植入篇
a415944895的博客
07-18 1171
JVM-Sandbox源码解析,增强业务代码逻辑
sandbox = 源码解析03-流量回放
wwHRestarting的博客
11-17 255
文件路径 所属类.方法 逻辑 备注 ${repeater_home}/repeater-module.jar com.alibaba.jvm.sandbox.repeater.module.RepeaterModule.initialize // 装载消息订阅器 List<SubscribeSupporter> subscribes = lifecycleManager.l...
android 沙箱 逆向,【原创】沙箱Sandboxie v3.40 逆向完整源码
weixin_29388659的博客
06-04 632
【前序】是土耳其人2006年开发的一个轻量级小型沙箱,至今仍有很多人使用,作者也一直在维护更新。当时国内做沙箱的还没有几家,大概有Comodo、卡巴斯基等大的安全厂商做过内置沙箱,不过功能性偏重不同,用户体验跟sandboxie有很大差距。我在09年的时候使用过Sandboxie一段时间,感觉做的不错,对其实现非常感兴趣,于是当时花了大量的业余时间进行逆向重写,整个过程耗时1年多。后来由于工作繁忙...
Sandboxie按需HOOK
joinpark的专栏
02-11 371
很多hook,为了挂载一些函数会直接load相关的dll,然后加载。或者因为依赖关系的原因相应的dll会被加载,这有时候会导致有些进程加载一些不必要的dll。 我们看Sandboxie的处理。 Sandboxie对在初始化的时候挂载了 LdrQueryImageFileExecutionOptions 进程加载dll完成后会调用该函数,此时可根据当前加载的dll的信息,对该dll相关的函数进行hook。 _FX void Ldr_MyDllCallbackA(const CHAR *ImageN
Sandboxie shellcode lowlevel加载pdb进行调试
joinpark的专栏
08-12 241
首先查看LdrInitializeThunk的指令,查看之前的文章(),看到如下的信息: 001>u 0x000000007775c320 ntdll!LdrInitializeThunk: 00000000`7775c320 e90b47a088 jmp 00000000`00160a30 这个是跳转到entry.asm 001>u00000000`00160a30 00000000`00160a30 4883ec28 sub rsp,28h...
sandboxie sboxdll 注入
最新发布
10-11
另外,sboxdll注入还使得Sandboxie可以对运行的程序进行行为分析,以及各种威胁和攻击的检测。Sandboxie可以记录程序的行为并生成报告,以帮助用户检测可能存在的威胁,并采取相应的措施。 总的来说,Sandboxie的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值