Sandboxie源码分析(文件系统篇)

最新推荐文章于 2025-03-01 15:16:37 发布
最新推荐文章于 2025-03-01 15:16:37 发布
阅读量1.2k 收藏 2
点赞数 1
文章标签: windows 操作系统 C++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wurlin/article/details/131470082
版权
本文深入探讨Sandboxie如何通过文件系统隔离来保护系统。它通过hook Win API,特别是NtCreateFile函数,对文件操作进行监控和控制。主要任务包括检查递归调用、文件类型(如管道和磁盘设备)、重定向策略,以及处理文件句柄、状态和访问权限。通过对函数的分析,揭示了沙箱技术的核心原理。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Sandboxie的原理是为进程创造隔离的环境,分别从文件系统、进程运行、安全令牌、网络等诸多方面进行。
本篇从文件系统入手,看看Sandboxie是如何从文件系统进行隔离的。

Sandboxie加载程序时,会将SbieDll.dll注入到程序中。
Dll_InitInjected()对许多模块进行了初始化:
初始化
其中,File_Init()对文件系统进行初始化。
如下图,它对许多Win API进行了hook,本篇主要对NtCreateFile进行大致分析。
SBIEDLL_HOOK
顺便一提,SBIEDLL_HOOK利用了hook原理,分析汇编指令,找到函数入口点,修改入口点指令/函数头部指令,使其跳转到我们自定义实现的函数中。
SbieDll_Hook
NtCreateFile最终会跳转到File_NtCreateFileImpl()。(虽然函数有一千多行,但其中有一部分都是注释,还有很多都是对特殊情况的处理

最低0.47元/天 解锁文章
雾语o-o
关注
剑和沙盒 4 - 编译Sandboxie源代码
ms44的专栏
07-26 254
获取下来后,主工程在目录Sandboxie中。
反逆向工程——使恶意软件难以逆向的技术
chucen8556的博客
04-03 882
前言 在攻防对抗的博弈中,恶意软件的作者总是想方设法阻止反病毒公司、安全研究人员对其编写的恶意软件进行检测、分析.在对抗中,技术的进步螺旋式上升,那么编写恶意软件的人都采用了哪些技术来对抗分析?这些技术又是如何发展的?反病毒公司如何应对这种挑战?作者 Bartosz Wójcik 给出了自己的...
Sandboxie-沙箱软件-编译说明-模块解析
插件开发
02-17 1797
LowLevel.dll作为资源嵌入到SbieSvc.exe中(参见core\svc\lowlevel.rc)。目录SandboxWUAU(\apps\com\WUAU)。目录SandboxRpcSs(\apps\com\RpcSs)。目录Common(\apps\common)。目录SbieIni(\apps\ini)。目录SboxDcomLaunch(\apps\com\DcomLaunch)。目录SboxDll(\core\dll)。创建Sbie注入DLL。目录Start(\apps\start)
Sandboxie源码分析【hook源头分析】
wurlin的博客
07-12 826
研究Sandboxie知道,在Sandboxie一开始加载子进程时,就已经开始了hook工作。那Sandboxie究竟是在哪一节点开始介入的呢?本进行追根溯源。
电脑软件:沙盒 Sandboxie 快速上手使用教程
最新发布
A_991128a的博客
03-01 788
沙盘Sandboxie中文版是一款非常好用的系统安全工具软件,沙盘Sandboxie中文版能够很好的进行安全测试,拥有一个安全的环境,你不用担心自己的浏览记录被曝光,沙盘Sandboxie中文版可以很好的帮助用户消除一切的浏览痕迹,同时还可以帮助用户预防木马和病毒等攻击,用户可以在沙盘中轻松运行各种你不想留下痕迹的软件程序哟~
沙箱Sandboxie 逆向完整源码
08-15
沙箱Sandboxie v3.40 逆向完整源码
sandboxie沙箱源码
05-12
一种沙箱实现的代码
Sandboxie:Sandboxie-开源
03-19
沙盒 Sandboxie是用于32位和64位基于Windows NT的操作系统的基于沙盒的隔离软件。它创建了一个类似于沙盒的隔离操作环境,在其中可以运行或安装应用程序,而无需永久修改本地和映射驱动器或Windows注册表。隔离的虚拟环境允许对不受信任的程序和Web冲浪进行受控测试。 项目维护 2004年-2013年Ronen Tzur 2013年-2017年Invincea Inc. 2017年-2020年Sophos Group plc 开源发行 2020年起David Xanatos 有用的贡献者 DavidBerdik-沙盒网站存档的作者 Diversitynok-安全分析和PoC stephtr-CI /认证 TechLord-团队IRA /反向 hg421-安全性分析 typpos-用户界面建议/文档/代码审查 isaak654-UI修复/模板/文档 cricri-ping
Sandboxie 5.40 源码.zip
04-12
代码说明 \install\文件夹中还有另一个ReadMe.txt,它说明了如何创建Sandboxie安装程序。 1)Sandboxie在MS Visual Studio 2015下构建。 2)安装MS Windows设备驱动程序工具包(DDK)7.1.0。 https://www.microsoft.com/zh-cn/download/details.aspx?id=11800 在DDK设置中,您需要检查的只是“ Build Environments” 3)VS解决方案文件Sandbox.sln位于源代码根目录中。在Visual Studio中打开此SLN。
一个Python开源项目-哈勃沙箱源码剖析(下)
七夜的博客
01-13 505
一个Python开源项目-哈勃沙箱源码剖析(下) 前言 在上一中,我们讲解了哈勃沙箱的技术点,详细分析了静态检测和动态检测的流程。本接着对动态检测的关键技术点进行分析,包括strace,sysdig,volatility。volatility的介绍不会太深入,内存取证这部分的研究还需要继续。 strace机制 上一讲到了strace和ltra...
sandbox = 源码解析01-启动加载过程
wwHRestarting的博客
11-17 1402
文件路径 所属类.方法 逻辑 备注 ${sandbox_home}/bin/sandbox.sh attach_jvm java -jar "${SANDBOX_LIB_DIR}/sandbox-core.jar" ${SANDBOX_JVM_OPS} "${TARGET_JVM_PID}" "${SANDBOX_LIB_DIR}/sandbox-agent.jar" \ "home=...
sandbox沙盒源码
06-24
sandbox 开源沙盒的源代码 ihxdef的代码 额 我们都来学习下
sandboxie
11-18
Sandboxie允许你在“沙盘环境”中运行浏览器或其他程序,这个“沙盘”个人感觉就是跟“影子”一样的概念罢了。因此,在沙盘中运行的程序所产生的变化可以随时删除。可用来保护浏览网页时真实系统的安全,也可以用来清除上网、运行程序的痕迹,还可以用来测试软件,测试病毒等用途。即使在沙盘进程中下载的文件,也可以随着沙盘的清空而删除。<br> Sandboxie一般是设置某个程序在“沙盘”中运行,而不是将整个Windows都置于“影子”模式下。也就是可以很灵活地设置一个或几个觉得“危险”的程序运行在“沙盘”,而其他一切则正常运行。<br>(1)、上网无忧,用SandBoxie在沙盘中运行浏览器 <br>  我们打开SandBoxie后,在右下角的图标中右键选择“运行沙盘→IE浏览器”,这时候会自动弹出标题栏中有两个“[#]”符号的IE浏览器,这就说明IE已经处于保护状态。去掉保护之后,历史记录连同IE之间安装过的流氓插件、下载的文件都会随之消失。 <br>提醒:<br> Sandboxie本身只能对第一个IE浏览器进程进行保护,不过用桌面上Sandboxie的保护IE的快捷方式来上网,无论打开多少个IE浏览器,都在保护状态下。 <br>(2)、测试安装危险程序 <br> <br> 木马和病毒总是比杀毒软件抢先一步。所以我们在安装程序的时候,即时杀毒软件没有报毒,也存在一定的风险。但使用Sandboxie后,就会将风险降低为零了。 <br> <br>选要安装或解压的不明程序,按鼠标右键,选择“用沙盘运行”,就会以保护的形式来安装或解压该程序。同样,在程序的安装窗口中会发现标题栏上有两个“[#]”符号代表受保护。笔者在安装一个捆绑木马的程序时做了保护措施。恢复系统之后,发现在这期间安装的程序包括木马都消失了,相当的安全。 <br>(3)、保护整个电脑,充当半个“影子系统” <br> <br> Sandboxie还提供整个电脑的保护,在Sandboxie中选择“功能”菜单,然后“选择运行沙盘→Windows 资源管理器”,就会自动弹出有两个“[#]”符号的“我的电脑”窗口。之后对整个电脑进行任意操作,包括格式化分区、删除文件、拷贝文件等都很安全。恢复的方法很简单。在Sandboxie主界面选择“配置 →沙盘设置→设置自动清理选项”,将隔离层中的内容清除即可。 <br><br><br>
MiniFilter版本的SandBox沙盘源码
04-09
MiniFilter版本的SandBox沙盘源码,支持夸全盘,simrep的框架,供于研究
cpp_sandbox
02-14
来自注释
android 沙箱 逆向,【原创】沙箱Sandboxie v3.40 逆向完整源码
weixin_29388659的博客
06-04 749
【前序】是土耳其人2006年开发的一个轻量级小型沙箱,至今仍有很多人使用,作者也一直在维护更新。当时国内做沙箱的还没有几家,大概有Comodo、卡巴斯基等大的安全厂商做过内置沙箱,不过功能性偏重不同,用户体验跟sandboxie有很大差距。我在09年的时候使用过Sandboxie一段时间,感觉做的不错,对其实现非常感兴趣,于是当时花了大量的业余时间进行逆向重写,整个过程耗时1年多。后来由于工作繁忙...
沙盘Sandboxie 原理分析
xcntime的专栏
08-23 6734
Sandboxie. Process isolation with kernel hooks. May 23rd, 2011 Posted in Uncategorized Write comment 1. Introduction: Sandboxie
转:Sandboxie分析
weixin_33924770的博客
07-06 1147
Sandboxie. Process isolation with kernel hooks. 1. Introduction: Sandboxie is a sandbox that performs a process isolation. Its main features: -Access control to kernel res...
JVM-SandBox 源码解析-代码增强植入
a415944895的博客
07-18 1297
JVM-Sandbox源码解析,增强业务代码逻辑
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值