Sandboxie注入过程

最新推荐文章于 2024-07-26 10:49:38 发布
原创 最新推荐文章于 2024-07-26 10:49:38 发布 · 1k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了Sandboxie的注入过程,从沙箱进程启动后驱动如何获取进程信息,到svc进程执行Inject_low进行dll注入。讲解了如何在目标进程中分配内存,填充SBIEOW_DATA结构,以及LdrInitializeThunk_tramp、api_device_handle、NtDelayExecution_code等关键数据的处理。最后,讨论了m_sbielow_ptr和m_syscall_data的生成过程,涉及资源解码和驱动交互。

 

 

沙箱进程启动后驱动获取了进程启动信息,通知到svc进程。

svc进程执行Inject_low。

首先在目标进程中申请一个空间,地址remote_addr,长度lowdata的长度,将LowData放进去。这个数据是一个dll,工程是LowLevel,作为资源放在svc中,在注入前已经释放出来。

申请的空间中的数据如图entry.asm。

申请数据分成两部分,一部分是.text执行代码,一部分是.zzzz。

其中.zzzz包含两个指针,一个是_Start,指向了运行代码的位置,这个很关键,这是程序的入口位置。

另一个指向SBIEOW_DATA。

这个结构是Inject_low要做的一个重要工作:填充该结构中的数据。这个结构会被entry.asm使用来进行初始化。

要填充这个数据,需要知道这个数据的位置,方法就是采用.zzzz的数据节(section)。找到这个节之后,就找到了这个数据相对于remote_addr的位置。

填充lowdata数据包括:LdrInitializeThunk_tramp,api_device_handle,syscall_data,NtDelayExecution_code

LdrInitializeThunk_tramp 最初是从目标进程中拷贝的。(    void *remote_addr = InjectLow_CopyCode(hProcess, lowdata.is_wow64, lowdata.LdrInitializeThunk_tramp, sizeof(lowdata.LdrInitializeThunk_tramp));主要是从LarInitializeThunk的位置保存原先的代码。先保存后面在InjectL

最低0.47元/天 解锁文章
Sandboxie 注入流程的一个整体梳理
zhangyihu321的专栏
02-20 1118
windows sandboxie
Sandboxie源码分析(文件系统篇)
wurlin的博客
06-30 1511
从文件系统的角度来分析Sandboxie的沙箱技术原理。
Sandboxie注入notepad.exe进程空间中的变化
joinpark的专栏
08-12 278
m_LdrInitializeThunk = 0x000000007775c320 正常的代码 000000007775C320 push rbx 000000007775C322 sub rsp,20h 000000007775C326 mov rbx,rcx 000000007775C329 call 000000007775C350 000000007775C32E mov dl,1 000000...
Sandboxie源码分析【hook源头分析】
wurlin的博客
07-12 946
研究Sandboxie知道,在Sandboxie一开始加载子进程时,就已经开始了hook工作。那Sandboxie究竟是在哪一节点开始介入的呢?本篇进行追根溯源。
[Cuckoo SandBox]注入原理篇
推理小孩的博客
03-06 1271
[Cuckoo SandBox]注入原理篇 1.LoadExe 接python版本 通过调用LoadExe去加载Dll进行注入 所以先看LoadExe 加载器的功能吧 通过python管道接收到  processID,ThreadID,路径 ,然后就开始搞事情了注入了 接收原理 管道具有传递命令行参数专递的作用,利用其进程间通信的功能,通过命令...
沙盘 注入DLL
weixin_33827590的博客
11-22 394
2019独角兽企业重金招聘Python工程师标准>>> ...
sandboxie sboxdll 注入
10-11
当一个程序在Sandboxie环境中运行时,sboxdll注入会在运行过程中将Sandboxie的DLL注入到程序的进程中。这样一来,Sandboxie就可以将程序运行在一个隔离的虚拟环境中,以确保程序的运行不会对主机系统产生任何危害。 ...
64位Sandboxie补丁文件及签名工具
08-09
需要注意的是,非法或未经验证的驱动签名可能会导致系统不稳定,因此在操作过程中,务必确保所有步骤都是在合法且安全的环境中进行的。此外,对于非专业用户,这种操作可能存在一定的风险,因此推荐由具备相关技术...
剑和沙盒 5 - Sandboxie的技术架构
最新发布
ms44的专栏
07-26 1666
安全性是 Chromium 最重要​​的目标之一。安全性的关键在于理解:只有充分理解系统在所有可能状态下所有可能输入组合的行为,我们才能真正保护系统。对于像 Chromium 这样庞大而多样化的代码库,推断其所有部分的组合行为几乎是不可能的。沙盒的目标是提供硬性保证,无论输入是什么,一段代码最终可以做什么或不能做什么。沙盒利用操作系统提供的安全性来允许执行无法对计算机进行持久更改或访问机密信息的代码。沙盒提供的架构和确切保证取决于操作系统。本文档涵盖 Windows 实现以及一般设计。
Sandboxie注入库对进程外资源的安全访问
joinpark的专栏
02-08 708
有些情况下需要让注入的库和外部进程或驱动通信, 很多情况下可以直接让动态库通过rpc或打开设备进行通信,但是这也就意味着其他的任何程序只要符合该接口标准都可以通过这些接口进行通信。 为了让注入的动态库和外部进程和驱动安全通信,Sandboxie在服务进程中打开设设备,并复制句柄,将句柄赋权给注入进程。这样其他的进程就可以访问设备了。 打开设备: RtlInitUnicodeString(&uni, API_DEVICE_NAME); InitializeObjectAttrib...
[转]Sandboxie 的工作原理
weixin_30835649的博客
04-11 1756
Sandboxie 的工作原理 术语解释 Sandboxie 4.x 工作原理的一个示意图 hx1997 解说 Sandboxie 4.x 的工作原理 Sandboxie 3.x 的工作原理 术语解释为了帮助大家理解后面的内容,在下抄了些术语解释在这里: 钩子:本术语解释引自 http://www.oschina.net/question/565065_6...
注入式类的写法,解耦,组件式开发,沙箱
weixin_30823833的博客
02-16 113
沙箱(网络编程虚拟执行环境) Sandboxie(又叫沙箱,沙盘)即是一个虚拟系统程序,允许你在沙盘环境中运行浏览器或者其他应用。 因此运行会产生的变化可以随后删掉。 它创造了一个类似沙盒的独立作业环境,在其中内部运行并不会对硬盘产生永久的影响。 其为一个独立的 虚拟环境,可用以测试不受信任的应用程序或上网行为。 沙箱是一种按照安全策略限制程序行为的执行环境。 ...
易语言无模块注入_[笔记]利用JVM SandBox注入异常
weixin_39874379的博客
11-23 819
题记:大名鼎鼎的ChaosBlade(混沌工具)和 jvm-sandbox-repeater(无侵入录制回放工具)底层都是基于JVM SandBox。JVM SandBox 使用起来非常很简单,但是 JVM SandBox 背后所涉及到的底层技术原理、实现细节却不简单,比如 Java Agent、Attach、JVMTI、Instrument、Class 字节码修改、ClassLoade...
对于python沙箱逃逸和ssti注入的一点笔记
kuller_Yan的博客
06-13 523
from Kuller_Yan Python沙箱: 是网站在提供在线python脚本执行,而有不想用户直接使用python执行 系统命令对系统造成危害,而对Python的一个阉割版本,被阉割的版本删去了命令执行 ,服务器文件读写等相关函数和文件。 沙箱逃逸思路: 1:实现目的最终想法: ·使用OS包中的popen,system两个函数来执行shell ·使用commands模块中的方法 ·使用subprocess ·使用写文件到指定位置,再使用其他辅助手段 import os
沙盘Sandboxie 原理分析
xcntime的专栏
08-23 7621
Sandboxie. Process isolation with kernel hooks. May 23rd, 2011 Posted in Uncategorized Write comment 1. Introduction: Sandboxie
能上QQ,却不能上网的解决办法
Martix
03-04 4098
前言:本文介绍了六种引起不能上网的原因,并一一提供了解决方法。希望对碰到不能上网、能上QQ不能上网等问题的读者有所帮助。  正文  前几日,家中电脑网络出现问题,具体表现为网页无法打开,但QQ却能正常登录。后经高手指点后终于摆平。上网查阅有关资料,发现造成这一问题的原因是多种多样的,于是整理出来与各位分享。以后碰到不能上网的问题也可轻松解决。一、感染了病毒所致  这种情况往往表
Sandboxie-沙箱软件-编译说明-模块解析
插件开发
02-17 2127
LowLevel.dll作为资源嵌入到SbieSvc.exe中(参见core\svc\lowlevel.rc)。目录SandboxWUAU(\apps\com\WUAU)。目录SandboxRpcSs(\apps\com\RpcSs)。目录Common(\apps\common)。目录SbieIni(\apps\ini)。目录SboxDcomLaunch(\apps\com\DcomLaunch)。目录SboxDll(\core\dll)。创建Sbie注入DLL。目录Start(\apps\start)。
Sandboxie shellcode lowlevel加载pdb进行调试
joinpark的专栏
08-12 367
首先查看LdrInitializeThunk的指令,查看之前的文章(),看到如下的信息: 001>u 0x000000007775c320 ntdll!LdrInitializeThunk: 00000000`7775c320 e90b47a088 jmp 00000000`00160a30 这个是跳转到entry.asm 001>u00000000`00160a30 00000000`00160a30 4883ec28 sub rsp,28h...
vmware Dos声卡驱动安装说明
vs9841
03-10 6666
Vmware虚拟机中dos\win3.1声卡驱动,Vmware使用虚拟创新SB16声卡来实现的。在dos下执行install.exe就可以开始安装了。同时注意查看虚拟机的vmx文件,是不是有这样几条,如果没有就要添加进去: sound.present = "TRUE" sound.virtualDev = "sb16" sound.autodetect = "TRUE" vmware do
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值