Sandboxie shellcode lowlevel加载pdb进行调试

最新推荐文章于 2023-02-17 09:54:34 发布
原创 最新推荐文章于 2023-02-17 09:54:34 发布 · 367 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#反汇编

本文介绍了如何在Sandboxie环境中利用windbg调试目标进程,特别是通过设置调试器和加载pdb文件来调试lowlevel代码。详细步骤包括观察注入过程、分析LdrInitializeThunk的调用,并动态调整符号表加载位置,以正确定位EntrypointC。

调试之前使用windbg打开notepad观察

00007ffd`23ae0670 cc              int     3
0:000> u ntdll!LdrInitializeThunk
ntdll!LdrInitializeThunk:
00007ffd`23a84b10 4053            push    rbx
00007ffd`23a84b12 4883ec20        sub     rsp,20h
00007ffd`23a84b16 488bd9          mov     rbx,rcx
00007ffd`23a84b19 e81a000000      call    ntdll!LdrInitializeThunk+0x28 (00007ffd`23a84b38)
00007ffd`23a84b1e b201            mov     dl,1
00007ffd`23a84b20 488bcb          mov     rcx,rbx
00007ffd`23a84b23 e8488a0200      call    ntdll!NtContinue (00007ffd`23aad570)
00007ffd`23a84b28 8bc8            mov     ecx,eax
 

为了调试目标进程,可以有多种方法:

1.将windbug放入沙箱,然后再通过windbg启动notepad,为了观察注入的初始化过程,启动后将Loadmodule勾选上

为了方便调试lowlevel,编译的时候打开这一项:

这样在编译目录下可以看到代码和二进制的对应关系文件init.cod和inject.cod

2.使用glfags设置目标进程notepad.exe的调试程序为windbg,将txt放入沙箱,启动,观察

0:000>  u ntdll!LdrInitializeThunk
ntdll!LdrInitializeThunk:
00007ffd`23a84b10 b8c00bbc00      mov     eax,0BC0BC0h
00007ffd`23a84b15 ffe0            jmp     rax
00007ffd`23a84b17 8bd9            mov     ebx,ecx
00007ffd`23a84b19 e81a000000      call    ntdll!LdrInitializeThunk+0x28 (00007ffd`23a84b38)
00007ffd`23a84b1e b201            mov     dl,1
00007ffd`23a84b20 488bcb          mov     rcx,rbx
00007ffd`23a84b23 e8488a0200      call    ntdll!NtContinue (00007ffd`23aad570)
00007ffd`23a84b28 8bc8            mov     ecx,eax
其中

0BC0BC0是跳转的地址。

u 0BC0BC0

0:000> u 0BC0BC0
00000000`00bc0bc0 4883ec28        sub     rsp,28h
00000000`00bc0bc4 48894c2420      mov     qword ptr [rsp+20h],rcx
00000000`00bc0bc9 4889542428      mov     qword ptr [rsp+28h],rdx
00000000`00bc0bce 4c89442430      mov     qword ptr [rsp+30h],r8
00000000`00bc0bd3 4c894c2438      mov     qword ptr [rsp+38h],r9
00000000`00bc0bd8 e800000000      call    00000000`00bc0bdd  这个地方是EntrypointC
00000000`00bc0bdd 59              pop     rcx
00000000`00bc0bde 488bd9          mov     rbx,rcx

按照该位置加载LowLevel地址,dll长度0x2000,如下加载符号表

.reload lowlevel=00BC0BC0,2000

加载完毕,查找lowlevel所有的符号:

00000000`00bc0bde 488bd9          mov     rbx,rcx
0:000> x lowlevel!*
00000000`00bc4bc8 lowlevel!`__local_stdio_scanf_options'::`2'::_OptionsStorage = 0
00000000`00bc4bc0 lowlevel!`__local_stdio_printf_options'::`2'::_OptionsStorage = 0
00000000`00bc2a0f lowlevel!SbieLowData = 0x00000161`c2c74900
00000000`00bc2250 lowlevel!InitInject (void *, void *)
00000000`00bc1d00 lowlevel!InitSyscalls (void *)
00000000`00bc2640 lowlevel!InitInjectWow64 (void *)
00000000`00bc1c10 lowlevel!SbieApi_QueryProcessInfo (unsigned long)
00000000`00bc1fe0 lowlevel!EntrypointC (void *, void *, void *)
00000000`00bc1cb0 lowlevel!findChromeTarget (unsigned char *)
00000000`00bc2130 lowlevel!FindDllExport2 (void *, unsigned char *)
00000000`00bc20c0 lowlevel!FindDllExport (void *, unsigned char *)
00000000`00bc27e5 lowlevel!myService (void)
00000000`00bc1fa0 lowlevel!InitConsole (void)
00000000`00bc1bc0 lowlevel!SbieApi_Ioctl (void *)
00000000`00bc203c lowlevel!InitConsole =  (inline caller) lowlevel!EntrypointC+5c
00000000`00bc1dc3 lowlevel!findChromeTarget =  (inline caller) lowlevel!InitSyscalls+c3
00000000`00bc1e06 lowlevel!findChromeTarget =  (inline caller) lowlevel!InitSyscalls+106
00000000`00bc1c1f lowlevel!SbieApi_Ioctl =  (inline caller) lowlevel!SbieApi_QueryProcessInfo+f
00000000`00bc231e lowlevel!FindDllExport =  (inline caller) lowlevel!InitInject+ce
00000000`00bc2287 lowlevel!FindDllExport =  (inline caller) lowlevel!InitInject+37
00000000`00bc240b lowlevel!InitInjectWow64 =  (inline caller) lowlevel!InitInject+1bb
 

00000000`00bc0bdd 这个是EntrypointC的地址,但是根据加载的符号位置却是00000000`00bc1fe0,说明符号表加载的位置靠后了。

所以需要向前移动00bc1fe0-00bc0bdd=1403

0BC0BC0-1403=BB F7BD

.reload /u lowlevel

.reload lowlevel=BBF7BD,2000

0:000> u 0BC0BC0
*** WARNING: Unable to verify timestamp for lowlevel
lowlevel!EntrypointC+0x3f [E:\works\opensource\Sandboxie\Sandboxie\core\low\init.c @ 555]:
00000000`00bc0bc0 4883ec28        sub     rsp,28h
00000000`00bc0bc4 48894c2420      mov     qword ptr [rsp+20h],rcx
00000000`00bc0bc9 4889542428      mov     qword ptr [rsp+28h],rdx
00000000`00bc0bce 4c89442430      mov     qword ptr [rsp+30h],r8
00000000`00bc0bd3 4c894c2438      mov     qword ptr [rsp+38h],r9
00000000`00bc0bd8 e800000000      call    lowlevel!EntrypointC(00000000`00bc0bdd)
00000000`00bc0bdd 59              pop     rcx
00000000`00bc0bde 488bd9          mov     rbx,rcx
 

--------------------------------------------------

以下为win7  64环境的情况?记不清了

首先查看LdrInitializeThunk的指令,查看之前的文章(),看到如下的信息:

001> u ntdll!LdrInitializeThunk

ntdll!LdrInitializeThunk:
00000000`7775c320 e90b47a088      jmp    00000000`00160a30

这个是跳转到entry.asm
001>u  00000000`00160a30

00000000`00160a30 4883ec28        sub     rsp,28h
00000000`00160a34 48894c2420      mov     qword ptr [rsp+20h],rcx
00000000`00160a39 4889542428      mov     qword ptr [rsp+28h],rdx
00000000`00160a3e 4c89442430      mov     qword ptr [rsp+30h],r8
00000000`00160a43 4c894c2438      mov     qword ptr [rsp+38h],r9
00000000`00160a48 e800000000      call     00000000`00160a4d
00000000`00160a4d 59              pop     rcx
00000000`00160a4e 488bd9          mov     rbx,rcx
00000000`00160a51 4881c172020000  add     rcx,272h
00000000`00160a58 488bd3          mov     rdx,rbx
00000000`00160a5b 4881c2f3000000  add     rdx,0F3h
00000000`00160a62 4c8bc3          mov     r8,rbx
00000000`00160a65 4981c048000000  add     r8,48h
00000000`00160a6c 4c8bcb          mov     r9,rbx
00000000`00160a6f 4981c185010000  add     r9,185h
00000000`00160a76 e865f9ffff      call    00000000`001603e0    ;预期:lowlevel!EntrypointC 

按照该位置加载LowLevel地址,dll长度0x2000,如下加载符号表

.reload lowlevel=000160a30,2000

加载完毕,查找lowlevel所有的符号:

x   lowlevel!*,得到如下的符号表,注意下面的符号是按照地址做过排序的,实际情况不会是这样的。

00000000`00161a30lowlevel!SbieApi_Ioctl
00000000`00161a80lowlevel!SbieApi_QueryProcessInfo
00000000`00161a99lowlevel!SbieApi_Ioctl
00000000`00161b20lowlevel!WaitForDebugger
00000000`00161b70lowlevel!findChromeTarget
00000000`00161bc0lowlevel!InitSyscalls
00000000`00161c78lowlevel!findChromeTarget
00000000`00161cc2lowlevel!findChromeTarget
00000000`00161dd0lowlevel!InitConsole
00000000`00161e10lowlevel!EntrypointC
00000000`00161e4flowlevel!WaitForDebugger
00000000`00161eaalowlevel!InitConsole
00000000`00161f40lowlevel!FindDllExport
00000000`00161fb0lowlevel!FindDllExport2
00000000`001620d0lowlevel!InitInject
00000000`00162110lowlevel!FindDllExport
00000000`0016219alowlevel!FindDllExport
00000000`00162390lowlevel!InitInjectWow64
00000000`001624c5lowlevel!myService
00000000`001626eflowlevel!SbieLowData
00000000`00164a30lowlevel!`__local_stdio_printf_options'::`2'::_OptionsStorage
00000000`00164a38lowlevel!`__local_stdio_scanf_options'::`2'::_OptionsStorage

可以看到符号表对应的EntryPointC的地址00000000`00161e10

而实际地址是00000000`001603e0

也就是按照000160a30加载后,EntryPointC的地址偏移了。

EntryPointC = 00000000`00161e10 = 000160a30+x

得到x = 13E0

为了让EntryPointC = 00000000`001603e0,需要再如下的地址加载lowlevel

00000000`001603e0-x=00000000`001603e0-13E0=15F000

取消之前的符号表:

001>.reload /u lowlevel

001>.reload lowlevel=0015F000,2000

调整后的代码

ntdll!LdrInitializeThunk:
00000000`7775c320 e90b47a088      jmp     lowlevel!InitInjectWow64+0xd0 (00000000`00160a30)
00000000`7775c325 20488b          and     byte ptr [rax-75h],cl
00000000`7775c328 d9e8            fld1
00000000`7775c32a 2200            and     al,byte ptr [rax]
00000000`7775c32c 0000            add     byte ptr [rax],al
00000000`7775c32e b201            mov     dl,1
00000000`7775c330 488bcb          mov     rcx,rbx
00000000`7775c333 e808540200      call    ntdll!NtContinue (00000000`77781740)
0:001> u 00160a30
lowlevel!InitInjectWow64+0xd0 [E:\works\Sandboxie_Open_Source_Code_5.40_2\core\low\entry.asm @ 65]:
00000000`00160a30 4883ec28        sub     rsp,28h
00000000`00160a34 48894c2420      mov     qword ptr [rsp+20h],rcx
00000000`00160a39 4889542428      mov     qword ptr [rsp+28h],rdx
00000000`00160a3e 4c89442430      mov     qword ptr [rsp+30h],r8
00000000`00160a43 4c894c2438      mov     qword ptr [rsp+38h],r9
00000000`00160a48 e800000000      call    lowlevel!InitInjectWow64+0xed (00000000`00160a4d)
00000000`00160a4d 59              pop     rcx
00000000`00160a4e 488bd9          mov     rbx,rcx
0:001> u
lowlevel!InitInjectWow64+0xf1 [E:\works\Sandboxie_Open_Source_Code_5.40_2\core\low\entry.asm @ 79]:
00000000`00160a51 4881c172020000  add     rcx,272h
00000000`00160a58 488bd3          mov     rdx,rbx
00000000`00160a5b 4881c2f3000000  add     rdx,0F3h
00000000`00160a62 4c8bc3          mov     r8,rbx
00000000`00160a65 4981c048000000  add     r8,48h
00000000`00160a6c 4c8bcb          mov     r9,rbx
00000000`00160a6f 4981c185010000  add     r9,185h
00000000`00160a76 e865f9ffff      call    lowlevel!EntrypointC (00000000`001603e0)
0:001> u
lowlevel!InitInjectWow64+0x11b [E:\works\Sandboxie_Open_Source_Code_5.40_2\core\low\entry.asm @ 89]:
00000000`00160a7b 488b4c2420      mov     rcx,qword ptr [rsp+20h]
00000000`00160a80 488b542428      mov     rdx,qword ptr [rsp+28h]
00000000`00160a85 4c8b442430      mov     r8,qword ptr [rsp+30h]
00000000`00160a8a 4c8b4c2438      mov     r9,qword ptr [rsp+38h]
00000000`00160a8f 4883c428        add     rsp,28h
00000000`00160a93 ffe0            jmp     rax

实际上只要lowlevel没修改,知道EntryPointC的jmp地址Addr就够了

Addr - 13E0 得到 lowlevel的加载地址

Sandboxie源码分析【hook源头分析】
wurlin的博客
07-12 944
研究Sandboxie知道,在Sandboxie一开始加载子进程时,就已经开始了hook工作。那Sandboxie究竟是在哪一节点开始介入的呢?本篇进行追根溯源。
sandbox-debugger:节点的沙箱调试
05-01
沙盒调试器 使用chrome://inspect或node-inspect在任何地方调试进程 节点调试端口9229 ⟷ 沙盒调试客户端 ⟷ 沙盒调试代理 使用交互式调试调试方式与对本地进程的调试方式相同。 支持运行进程 在无法ssh /无法访问的机器上 在没有暴露端口的Docker容器中 在 在 在 在 在 在 在 在Runkit上 允许出站Internet通讯到端口80的任何地方 这个怎么运作? 节点在调试模式下打开websocket时,沙盒服务器和客户端都通过代理通过管道传递websocket数据来工作。 运行沙箱服务器 该服务器用作调试消息的关守。 npx sandbox-debugger-server 或者 ᐅ docker run \ --name sandbox-debugger \ -ti \ --rm \ -p 92
Sandbox 入门(打包、安装、启动、调试、日志)
xiaolyuh的专栏
11-09 4383
JVM-SANDBOX(沙箱)实现了一种在不重启、不侵入目标JVM应用的AOP解决方案。 SANDBOX 入门(打包、安装、启动、调试
shell脚本获取oracle pdb
hbhe0316的专栏
03-24 1811
#!/bin/ksh ############################################################################################################### #Script name: show_oracle_mode.sh #Script description: show oracle pdb name for multi pdbs. #Current Release Version: 1.0.0 #Script O
Sandboxie-沙箱软件-编译说明-模块解析
插件开发
02-17 2123
LowLevel.dll作为资源嵌入到SbieSvc.exe中(参见core\svc\lowlevel.rc)。目录SandboxWUAU(\apps\com\WUAU)。目录SandboxRpcSs(\apps\com\RpcSs)。目录Common(\apps\common)。目录SbieIni(\apps\ini)。目录SboxDcomLaunch(\apps\com\DcomLaunch)。目录SboxDll(\core\dll)。创建Sbie注入DLL。目录Start(\apps\start)。
快速调试shellcode技巧助力恶意软件分析
为了有效地分析和理解shellcode的行为,恶意软件分析师需要对其进行调试,这通常意味着在隔离的环境中运行并观察其执行过程。本知识点将以C/C++语言环境中的调试器为例,详细解释在恶意软件分析过程中调试shellcode...
精选资源
Sandboxie(经典老牌沙盒软件)官方中文版V5.49.0 | sandboxie官网下载
03-10
Sandboxie 是一款超级经典实用也非常老牌的沙盒程序,也叫沙盘工具,目前已经开源免费提供给大家使用,能在用户现有的电脑操作系统中直接虚拟出一个运行环境,并让大家指定的程序运行在其中,与真实系统完全隔离开来...
sandboxie-master.zip
08-10
此外,开源社区可能会对代码进行优化,修复潜在的漏洞,并添加新的功能,使Sandboxie更加强大和可靠。 在压缩包的文件列表中,"sandboxie-master"可能包含Sandboxie的主代码库,可能包括C++或其他编程语言编写的...
经典优秀的沙盘工具 Sandboxie 5.49.5 + x64 中文多语免费版.zip
06-01
呵呵,王军恒老师认为其实它们之间还有一个很大的区别,就是影子系统是对整个系统进行保护,而 Sandboxie是对电脑的局部进行保护。Sandboxie一般是设置某个程序在“沙盘”中运行,而不是将整个Windows都置于“影子”...
精选资源
Sandboxie Classic v5.48.5.zip
02-26
影子系统是对整个系统进行保护,而 Sandboxie是对电脑的局部进行保护。Sandboxie一般是设置某个程序在“沙盘”中运行,而不是将整个Windows都置于“影子”模式下。也就是可以很灵活地设置一个或几个觉得“危险”的...
沙盒(沙箱)测试
热门推荐
沉觞的博客
06-22 1万+
沙盒(沙箱)测试沙盒的概念沙盒环境沙盒测试 沙盒的概念 有时沙盒也叫沙箱,英文sandbox。在计算机领域指一种虚拟技术,且多用于计算机安全技术。其原理是通过重定向技术,把程序生成和修改的文件定向到自身文件夹中。当某个程序试图发挥作用时,安全软件可以先让它在沙盒中运行,如果含有恶意行为,则禁止程序的进一步运行,而这不会对系统造成任何危害。 沙盒是在受限的安全环境中运行应用程序的一种做法,这种做法是要限制授予应用程序的代码访问权限。 沙盒环境 沙盒环境又称测试环境和开发环境,是提供给开发者开发和测试用的环境。
得到线程入口地址的方式
weixin_30909575的博客
01-13 617
要获取入口地址,可以用Native API: NtQueryInformationThread,以ThreadQuerySetWin32StartAddress为参数 具体代码: .h: #pragma once typedef LONG NTSTATUS; typedef NTSTATUS (WINAPI *NTQUERYINFORMATIONTHREAD)( HANDLE Th...
windows内核情景分析---进程线程
maomao171314的专栏
04-04 3703
本篇主要讲述进程的启动过程、线程的调度与切换、进程挂靠 进程的启动过程: BOOL CreateProcess (   LPCTSTR lpApplicationName,                 //   LPTSTR lpCommandLine,                      // command line string   LPSECURITY_ATTRIBU
沙盘Sandboxie命令行(Windows)
replat-xin
01-11 5671
沙盘程序可以使用dos命令和相关参数完成下列功能。 Start启动:在沙盘中运行程序 Stop 停止:关闭沙盘程序 List列表:显示在闪盘中运行的程序列表 Delete 删除:删除沙盘中的内容 Reload重载:重新载入沙盘配置 Disable Forced Programs禁用强制程序 程序启动 沙盘程序可以根据一个可执行程序的绝对路径和相对路径,在沙盘中运行此程序: "C:\Progra...
Hook : N种内核注入DLL的思路及实现
it技术学习
01-10 2357
内核注入,技术古老但很实用。现在部分RK趋向无进程,玩的是SYS+DLL,有的无文件,全部存在于内存中。可能有部分人会说:“都进内核了.什么不能干?”。是啊,要是内核中可以做包括R3上所有能做的事,软件开发商们也没必要做应用程序了。有时,我们确实需要R3程序去干驱动做起来很困难或者没必要驱动中去做的事,进程 /  DLL是不错的选择,但进程目标太大,所以更多的同学趋向于注DLL。
Sandboxie注入notepad.exe进程空间中的变化
joinpark的专栏
08-12 278
m_LdrInitializeThunk = 0x000000007775c320 正常的代码 000000007775C320 push rbx 000000007775C322 sub rsp,20h 000000007775C326 mov rbx,rcx 000000007775C329 call 000000007775C350 000000007775C32E mov dl,1 000000...
拦截进程创建(不会卡死桌面)
kingswb的博客
05-23 1370
标 题: 【原创】拦截进程创建(不会卡死桌面) 作 者: bycon 时 间: 2011-01-28,16:44:32 链 接: http://bbs.pediy.com/showthread.php?t=128733 菜鸟作品,大牛请无视。如有错误或纰漏,望指出   之前看过很多关于进程创建的拦截,都是勾在NtCreateProcess或者NtCreateSection上,拦截到
Windows x64内核中修改进程入口点
muy的专栏
07-05 2939
现如今Windows x64已经很普遍了。基于内核驱动,监视进程创建,在进程主线程启动之前修改其入口点以便执行一段自己的代码是十分有用的。本文以Windows 7 x64为基础,对这个问题进行了尝试。
转:Sandboxie分析
weixin_33924770的博客
07-06 1512
Sandboxie. Process isolation with kernel hooks. 1. Introduction: Sandboxie is a sandbox that performs a process isolation. Its main features: -Access control to kernel res...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值