Sandboxie按需HOOK

最新推荐文章于 2025-02-24 13:39:58 发布
原创 最新推荐文章于 2025-02-24 13:39:58 发布 · 564 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

Sandboxie通过在进程初始化时挂载LdrQueryImageFileExecutionOptions函数,实现对DLL加载的控制。当DLL加载完成后,会调用Ldr_MyDllCallbackA函数,对特定DLL进行hook初始化。这一机制避免了不必要的DLL加载,提高了系统安全性。博客详细阐述了Sandboxie如何利用回调函数来管理DLL的加载和hook操作。

很多hook DLL,为了挂载一些函数会直接load相关的dll,然后加载。或者因为依赖关系的原因相应的dll会被加载,这有时候会导致有些进程加载一些不必要的dll。

我们看Sandboxie的处理。

Sandboxie对在初始化的时候挂载了

LdrQueryImageFileExecutionOptions

进程加载dll完成后会调用该函数,该函数最后调用Ldr_MyDllCallbackA,在Ldr_MyDllCallbackA中根据当前加载的dll的信息,对该dll相关的函数进行hook的初始化。


_FX void Ldr_MyDllCallbackA(const CHAR *ImageName, HMODULE ImageBase)
{
    //
    // invoke our sub-modules as necessary
    //
    if (ImageBase) {

        DLL *dll = Ldr_Dlls;
        while (dll->nameA) {
            if (_stricmp(ImageName, dll->nameA) == 0) {
                BOOLEAN ok = dll->init_func(ImageBase);
                if (!ok)
                    SbieApi_Log(2318, dll->nameW);
                break;
            }
            ++dll;
        }
    }
}

堆栈如下:
Call Site
SbieDll!AdvApi_Init [e:\sandboxie5.40\core\dll\advapi.c @ 173] 
SbieDll!Ldr_MyDllCallbackA+0x61 [e:\sandboxie5.40\core\dll\ldr.c @ 1073] 
SbieDll!Ldr_CallOneDllCallback+0x3b [e:\sandboxie5.40\core\dll\ldr.c @ 651] 
SbieDll!Ldr_CallDllCallbacks+0x276 [e:\sandboxie5.40\core\dll\ldr.c @ 820] 
SbieDll!Ldr_LdrQueryImageFileExecutionOptions+0x25 [e:\sandboxie5.40\core\dll\ldr.c @ 1026] 
ntdll!RtlIsDosDeviceName_U+0x4674
ntdll!RtlCreateUnicodeStringFromAsciiz+0xea
ntdll!LdrLoadDll+0x9e
SbieDll!Ldr_LdrLoadDll+0x5c [e:\sandboxie5.40\core\dll\ldr.c @ 888] 
KERNELBASE!LoadLibraryExW+0x19c
KERNELBASE!LoadLibraryExA+0x51
chrome!IsSandboxedProcess+0x84365
chrome!IsSandboxedProcess+0xb3e4e
0xaaaaaaaa`00000000
0x8de670
0x1
0x8de650

Sandboxie源码分析【hook源头分析】
wurlin的博客
07-12 943
研究Sandboxie知道,在Sandboxie一开始加载子进程时,就已经开始了hook工作。那Sandboxie究竟是在哪一节点开始介入的呢?本篇进行追根溯源。
Sandboxie源码分析(文件系统篇)
wurlin的博客
06-30 1510
从文件系统的角度来分析Sandboxie的沙箱技术原理。
强制运行受限程序
zzmzzff的博客
05-13 1501
  运行一个EXE程序如果出现无法运行的情况,比如受限制或者程序被替换掉,一般有两种情况,第一种是外壳限制。双击一个程序通常调用Shell开头的函数来执行,比如ShellExecute,这个函数并非真正执行了EXE,而是会做出许多选择,例如是否被外壳限制(注册表RestrictRun项),检查文件的关联等。第二种是执行限制。当EXE文件关联被改变的情况下,Windows的任务管理器还是可以运行的,...
Sandbox FAQ
啊渊的专栏
07-23 503
Sandbox FAQWhat is the sandbox?What does and doesn't it protect against?Is the sandbox like what you get with the Java VM?How can you do this for C++ code if there is no virtual machine?Doesn't Vista have similar functionality?Isn't that a lot of work?Shou
判断IFEO某exe文件名是否被劫持的软件源码
04-09
判断IFEO某exe文件名是否被劫持本人精心收集的VB源码,绝对实用
Sandboxie注入过程
joinpark的专栏
08-12 1008
沙箱进程启动后驱动获取了进程启动信息,通知到svc进程。 svc进程执行Inject_low。 首先在目标进程中申请一个空间,地址remote_addr,长度lowdata的长度,将LowData放进去。这个数据是一个dll,工程是LowLevel,作为资源放在svc中,在注入前已经释放出来。 申请的空间中的数据如图entry.asm。 申请数据分成两部分,一部分是.text执行代码,一部分是.zzzz。 其中.zzzz包含两个指针,一个是_Start,指向了运行代码的位置,这个很关键,这是程..
Sandboxie 如何 规避 PatchGuard
zhangyihu321的专栏
02-24 600
Sandboxie 使用了内核 Hook 技术,但为了规避 Windows 的 **PatchGuard**(内核完整性保护机制),它采取了一系列巧妙的策略。- **影子表(Shadow Table)**:创建 SSDT 的副本,并重定向系统调用到影子表。- **伪造 SSDT 校验和**:修改 SSDT 的校验和以匹配 Hook 后的状态。- **无法完全规避**:PatchGuard 的检测机制非常复杂,完全规避几乎不可能。- **随机化 Hook 时间**:避免 PatchGuard 的定期检测。
sbiedll_hook
最新发布
08-29
2. **按Hook** 仅Hook必要函数(如进程创建、文件访问相关API),通过`ldr.c`中的调度逻辑动态启用: ```c SbieDll!Ldr_CallDllCallbacks() // 决定是否拦截当前操作 ``` 3. **开发者扩展** 如自定义...
android 沙箱 逆向,【原创】沙箱Sandboxie v3.40 逆向完整源码
weixin_29388659的博客
06-04 819
【前序】是土耳其人2006年开发的一个轻量级小型沙箱,至今仍有很多人使用,作者也一直在维护更新。当时国内做沙箱的还没有几家,大概有Comodo、卡巴斯基等大的安全厂商做过内置沙箱,不过功能性偏重不同,用户体验跟sandboxie有很大差距。我在09年的时候使用过Sandboxie一段时间,感觉做的不错,对其实现非常感兴趣,于是当时花了大量的业余时间进行逆向重写,整个过程耗时1年多。后来由于工作繁忙...
如何使用sandboxie阻止电脑监考系统软件识别到显示器的数量
06-14
采用按 Hook 和随机化注入时机,避免被监考系统的反 Hook 机制检测: ```cpp void ApplyDynamicHook() { if (IsExamAppRunning()) { // 仅当监考程序运行时启用 Hook EnableMonitorHook(); Sleep(rand() % ...
沙箱Sandboxie 逆向完整源码
08-15
沙箱Sandboxie v3.40 逆向完整源码
Sandboxie 注入流程的一个整体梳理
zhangyihu321的专栏
02-20 1118
windows sandboxie
NTDLL.DLL API Publish!
Lobbyfish的专栏
10-07 5185
__isascii__iscsym__iscsymf__toascii_alldiv_alldvrm_allmul_alloca_probe_allrem_allshl_allshr_atoi64_aulldiv_aulldvrm_aullrem_aullshr_chkstk_CIcos_CIlog_CIpow_CIsin_CIsqrt_fltused_ftol_i64toa_i64tow_ito
沙盘Sandboxie 原理分析
xcntime的专栏
08-23 7619
Sandboxie. Process isolation with kernel hooks. May 23rd, 2011 Posted in Uncategorized Write comment 1. Introduction: Sandboxie
映像劫持(Image File Execution Options)的解决方案
weixin_34318326的博客
12-09 2217
这几天一直想要把这个经验写一下,总没抽出时间,晚上加加班。样本已经被杀毒U盘的监控干掉,本文回忆下修复过程。 现象: 一媒体朋友的笔记本染毒,杀毒软件起不来。开机就弹出若干个窗口,总也关不掉,直到系统内存耗尽死机,安全模式也是同样的现象。无奈之下,尝试重装系统,不过,因为不少人都知道的原因 ,她只是格式化了C分区,系统重装后,访问其它分区后,再次出现重装前的中毒症状。...
Github每日精选(第7期):Sandboxie Windows下的沙盒
haleycat的博客
07-25 4800
在手机上对于沙盒我们再熟悉不够了,我们的每个应用的运行在独立的空间中,避免手机中不同应用的相互影响。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值