Sandboxie注入notepad.exe进程空间中的变化

最新推荐文章于 2024-11-01 16:13:48 发布
原创 最新推荐文章于 2024-11-01 16:13:48 发布 · 278 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细分析了Sandboxie如何将notepad.exe进程中的正常代码0x000000007775C320替换为跳转到0x0000000000030990的指令,并展示了被替换后的不正确代码。通过0x0000000000030990的地址,可以看到一系列内存操作和调用,最终跳转到EntrypointC函数实现控制流程。

m_LdrInitializeThunk = 0x000000007775c320
正常的代码
000000007775C320  push        rbx  
000000007775C322  sub         rsp,20h  
000000007775C326  mov         rbx,rcx  
000000007775C329  call        000000007775C350  
000000007775C32E  mov         dl,1  
000000007775C330  mov         rcx,rbx  
000000007775C333  call        0000000077781740  
000000007775C338  mov         ecx,eax  
000000007775C33A  call        00000000777FD7C0  
000000007775C33F  int         3  

调整后实际变成了
000000007775C320  jmp         0000000000030990  
000000007775C325  and         byte ptr [rax-75h],cl  //此处

最低0.47元/天 解锁文章
沙箱机制(Sandboxie
清平乐的技术专栏
05-20 1909
一、沙箱是什么? 沙箱是一个虚拟系统程序,沙箱提供的环境相对于每一个运行的程序都是独立的,而且不会对现有的系统产生影响。开发测试阶段,应用需要在沙箱环境进行开发,开发完成后可选择正式环境测试。 二、沙箱的应用 (1)搭建测试环境。沙箱的应用只能访问自己的应用访问目录,而不能应用之间的资源进行共享,这样就形成了一个相对安全的机制,由于沙箱具有非常良好的独立性、隔离性,所以能够搭建一些具有高风险的软件进行测试。   (2)应用容器的利用,如Docker就是完全使用沙箱机制,这样使得应用组件经过Docker的封装
Sandboxie注入过程
joinpark的专栏
08-12 1008
沙箱进程启动后驱动获取了进程启动信息,通知到svc进程。 svc进程执行Inject_low。 首先在目标进程中申请一个空间,地址remote_addr,长度lowdata的长度,将LowData放进去。这个数据是一个dll,工程是LowLevel,作为资源放在svc中,在注入前已经释放出来。 申请的空间中的数据如图entry.asm。 申请数据分成两部分,一部分是.text执行代码,一部分是.zzzz。 其中.zzzz包含两个指针,一个是_Start,指向了运行代码的位置,这个很关键,这是程..
Sandboxie注入库对进程外资源的安全访问
joinpark的专栏
02-08 708
有些情况下需要让注入的库和外部进程或驱动通信, 很多情况下可以直接让动态库通过rpc或打开设备进行通信,但是这也就意味着其他的任何程序只要符合该接口标准都可以通过这些接口进行通信。 为了让注入的动态库和外部进程和驱动安全通信,Sandboxie在服务进程中打开设设备,并复制句柄,将句柄赋权给注入进程。这样其他的进程就可以访问设备了。 打开设备: RtlInitUnicodeString(&uni, API_DEVICE_NAME); InitializeObjectAttrib...
[Cuckoo SandBox]注入原理篇
推理小孩的博客
03-06 1271
[Cuckoo SandBox]注入原理篇 1.LoadExe 接python版本 通过调用LoadExe去加载Dll进行注入 所以先看LoadExe 加载器的功能吧 通过python管道接收到  processID,ThreadID,路径 ,然后就开始搞事情了注入了 接收原理 管道具有传递命令行参数专递的作用,利用其进程间通信的功能,通过命令...
沙盘 注入DLL
weixin_33827590的博客
11-22 394
2019独角兽企业重金招聘Python工程师标准>>> ...
沙箱、蜜罐原理浅析
热门推荐
N2O_666的博客
05-26 1万+
目录一、沙箱(网络编程虚拟执行环境)1.1 概述1.2 重定向技术1.3 虚拟机和沙箱的区别二、蜜罐2.1 概述2.2 蜜罐诱捕关键能力2.3 反蜜罐技术2.4 蜜罐的思考三、网络欺骗(Cyber Deception) 一、沙箱(网络编程虚拟执行环境) 1.1 概述 Sandboxie(又叫沙箱、沙盘)即是一个虚拟系统程序,在计算机安全领域中是一种安全机制,为运行中的程序提供的隔离环境。 在网络安全中,沙箱指在隔离环境中,用以测试不受信任的、具破坏力的或无法判定程序意图的程序行为的工具。 虚拟系统程序:沙
免杀对抗—反VT沙盒&虚拟机&反调试&进程APC注入
2301_76227305的博客
11-01 2001
今年的内容基本比较简单,核心就是检测和不让exe运行,代码不会写的话自己搞工具加壳反编译也行。最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。
补丁模块(带源码)InlinePatch,Hook,内存DLL注入等等
09-24
子程序 InjectDll, 逻辑型, 公开, 向目标进程注入一个指定 Dll 模块文件;注入成功返回 true, 注入失败则返回 false,CreateRemoteThread法 .参数 进程ID, 整数型, , 进程PID .参数 DLL文件名, 文本型, , 欲注入...
RAR打包技术进阶:自解压脚本实现原理与隐藏文件注入手法全解析
在今天这个“一键安装、自动部署”司空见惯的时代,你有没有想过——一个看似无害的 `.exe` 安装包背后,可能藏着一场精心设计的数字潜行? 它不依赖第三方软件,无需用户复杂操作,双击即释放文件、静默执行程序。...
沙盘Sandboxie 原理分析
xcntime的专栏
08-23 7621
Sandboxie. Process isolation with kernel hooks. May 23rd, 2011 Posted in Uncategorized Write comment 1. Introduction: Sandboxie
白话解说,半分钟就懂 ---沙盒技术
瑞新の博客:bennyrhys
05-07 1709
渊源 沙盒技术是浏览器和其他应用程序中保护安全的一种组件关系设计模式,最初发明人为GreenBorder公司。2007年5月,谷歌公司收购了该公司,也将此项专利应用于chrome浏览器的研发中。 介绍 “沙盒”技术与主动防御技术原理截然不同。主动防御是发现程序有可疑行为时立即拦截并终止运行。“沙盒”技术则是发现可疑行为后让程序继续运行,当发现的确是病毒时才会终止。“沙盒”技术的实践运用流程是:让疑...
关于Win7 x64下过TP保护(应用层)(转)
weixin_30565327的博客
07-21 1187
非常感谢大家那么支持我上一篇教程。Win10 快出了,所以我打算尽快把应用层的部分说完。调试对象:DXF调试工具:CE、OD、PCHunter、Windbg调试先言:TP的应用层保护做得比较多,包括对调试器的检测,比如CE工具会被DXF报非法。有的保护还是内核与应用层交替保护。应用层:1、TP让调试器卡死(内核互动)现象:<ignore_js_op>如图,TP会检测调试器让调试器暂...
LdrInitializeThunk 解析
趁着年轻,希望我们不会让自己失望
06-26 1万+
LdrInitializeThunk()    Windows 的 DLL 装入(除 ntdll.dll 外)和连接是通过 ntdll.dll 中的一个函数LdrInitializeThunk()实现的.    在进入这个函数之前,目标 EXE 映像已经被映射到当前进程的用户空间,系统 DLL ntdll.dll 的映像也已经被映射, 但是并没有在 EXE 映像与 ntdll.dll 映像之间
Windows Ring3层注入——注入相关知识(零)
qq_38493448的博客
01-16 1477
Windows Ring3层注入——注入相关知识(零)定义需要注入的几种情况注入时机静态输入动态加载加载服务模块注入方法概括说明注入方式原理通过干预输入表处理过程加载目标DLL改变程序运行流程主动加载DLL利用系统机制加载DLL几种常见的注入方式静态注入:动态加载:加载服务模块: 定义 注入就是迫使第三方进程非自愿加载某个模块(DLL)。 需要注入的几种情况 1.想要从另一个进程创建窗口派生子类窗...
调试wow64进程
xbgprogrammer的专栏
09-29 4881
当使用64位debugger调试wow64进程时,cpu context默认为64位,这是查看wow64进程调用栈时,会发现只有64位调用栈,而没有32位调用栈,例如查看32位notepad进程在64位Windows上的主线程调用栈: fffff880`0382b740 fffff800`03eea992: nt!KiSwapContext+0x7a fffff880`0382b880 ffff
linux进程内存变化,linux – 进程的峰值内存使用情况
weixin_30188669的博客
04-29 1220
您可以在以下位置获取某个进程的峰值内存使用情况:grep VmPeak /proc/$PID/status(将$PID更改为您正在寻找的实际进程ID).VmPeak是进程自启动以来使用的最大内存量.为了跟踪进程的内存使用情况,您可以使用名为munin的工具进行跟踪,并向您显示内存使用情况随时间变化的精确图表.Munin附带了许多用于跟踪系统资源的默认插件,但它没有附带跟踪Peak内存使用的插件 –...
acl在内核里的位置_Windows 注入篇 之 内核 APC 注入
weixin_39586335的博客
12-18 422
一、Windows 下进程创建过程概述: 1. 应用层通过CreateProcess发起进程创建,然后进入系统调用。 2. 系统调用中通过 NtCreateProcess,创建进程的各种资源(内存空间,句柄表,Peb,设备描述表等),此时,进程还只是一个空壳,所以必须为自己创建一个线程(即我们通常说的主线程)。 3. 主线程由KeInitThread函数进行初始化。并有内核调度,启动点是PspUs...
一种注册表沙箱的思路、实现——Hook Nt函数
方亮的专栏
06-11 5894
        Nt函数是在Ring3层最底层的函数了,选择此类函数进行Hook,是为了提高绕过门槛。我的Hook方案使用的是微软的Detours。(转载请指明出处)        Detours的Hook和反Hook的写入如下:DetourTransactionBegin(); DetourUpdateThread(GetCurrentThread()); DetourAttach(lpOriF...
sandboxie进程astralparty.exe崩溃怎么解决
最新发布
05-01
<think>嗯,用户遇到了Sandboxie中astralparty.exe进程崩溃的问题,需要解决。首先,我得回忆一下Sandboxie的常见问题以及进程崩溃的可能原因。Sandboxie是一个沙盒软件,用来隔离运行程序,但有时候程序在沙盒中运行可能会有兼容性问题或者权限问题。 首先,我应该考虑兼容性模式。可能这个程序需要以管理员权限运行,或者需要特定的Windows兼容性设置。用户可以在Sandboxie的设置里调整这些选项,比如启用Windows兼容模式或者以管理员身份运行。另外,如果astralparty.exe是游戏或者需要图形加速的应用,可能需要关闭沙盒内的图形加速,因为虚拟化图形驱动有时会导致崩溃。 其次,查看日志文件是关键。Sandboxie的日志通常位于安装目录下的SbieMsg.log,里面可能会有详细的错误信息,比如访问被拒绝或者DLL加载失败。用户需要检查这些日志,找到具体的错误代码或模块,这样可以更有针对性地解决问题。 另外,沙盒配置可能需要调整。比如,增加资源限制,避免内存或CPU不足。还有,排除某些关键系统目录的虚拟化,让程序能直接访问必要的文件或注册表项,这样可以避免权限问题导致的崩溃。 还有可能是程序需要访问特定的驱动或服务,而Sandboxie默认阻止了这些访问。比如反作弊系统或DRM保护,这些可能会检测到沙盒环境而主动崩溃。这时候可能需要临时禁用这些保护,或者将相关进程添加到排除列表里。 另外,用户可能需要更新Sandboxie到最新版本,或者尝试兼容性更好的旧版本。同时,确保系统补丁和驱动程序都是最新的,尤其是显卡驱动,这可能会影响图形相关的问题。 如果以上方法都不奏效,可能需要完全排除问题,比如在沙盒外运行程序看是否正常,或者使用其他沙盒软件测试,以确定是否是Sandboxie特定的问题。如果沙盒外也崩溃,那问题可能出在程序本身或系统环境,需要进一步的诊断。 最后,用户可能需要参考社区的经验,比如官方论坛或类似问题的讨论,看看有没有其他用户遇到相同的情况并找到了解决方法。有时候特定的配置调整或补丁可以解决问题。</think>### Sandboxie中astralparty.exe进程崩溃解决方案 #### 1. 兼容性模式调整 - **启用Windows兼容模式**:右键沙盒配置选择"兼容性"选项卡,勾选"以兼容模式运行这个程序",尝试Windows 7/8模式[^2] - **关闭图形加速**:在沙盒设置中禁用`OpenGL/DirectX虚拟化`,部分游戏会因图形驱动虚拟化崩溃 $$ \text{配置文件示例:} \\ [DefaultBox] \\ OpenGL=no \\ DirectX=no $$ #### 2. 日志分析 查看`Sandboxie安装目录\SbieMsg.log`,重点关注以下错误模式: - `Access denied`:权限问题 - `DLL加载失败`:需配置资源访问 - `驱动程序冲突`:常见于反作弊系统 #### 3. 沙盒配置优化 | 配置项 | 推荐值 | 说明 | |--------|--------|------| | 内存限制 | >=4GB | 大型游戏需更高内存配额 | | 文件访问 | 添加`%AppData%\AstralParty`到直接访问 | 配置文件读写权限 | | 注册表访问 | 排除`HKEY_CURRENT_USER\Software\Astral` | 注册表虚拟化冲突 | #### 4. 关键进程排除 对于使用反作弊系统的游戏: ```ini [DefaultBox] AllowProcess=EasyAntiCheat.exe AllowProcess=astralparty.exe ClosedIPC=Section\BaseNamedObjects\*EAC* ``` #### 5. 驱动冲突解决方案 1. 临时禁用杀毒软件实时监控 2. 更新Sandboxie至最新版本(推荐v5.62+) 3. 在`设备管理器`中为显卡启用"标准PCI驱动"
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值