[ANTI] AmISandboxied() - Saber si estamos siendo ejecutados dentro de Sandboxie

Tema destacado: [Overclocking] Récords de overclock del foro

Foro de elhacker.net

Programación

Programación Visual Basic (Moderadores: LeandroA, seba123neo, raul338)

[ANTI] AmISandboxied() - Saber si estamos siendo ejecutados dentro de Sandboxie

0 Usuarios y 1 Visitante están viendo este tema.

Páginas: [1]

Autor

Tema: [ANTI] AmISandboxied() - Saber si estamos siendo ejecutados dentro de Sandboxie (Leído 985 veces)

Karcrack

Desconectado

Mensajes: 2.192

Se siente observado ¬¬'

[ANTI] AmISandboxied() - Saber si estamos siendo ejecutados dentro de Sandboxie

« en: 13 Marzo 2011, 20:42 »

Código

Option Explicit
'NTDLL
Private Declare Function RtlGetCurrentPeb Lib "NTDLL" () As Long
'MSVBVM60
Private Declare Sub GetMem4 Lib "MSVBVM60" (ByVal Addr As Long, ByRef RetVal As Long)
 
'---------------------------------------------------------------------------------------
' Procedure : AmISandboxied
' Author    : Karcrack
' Date      : 13/03/2011
' Purpose   : Know if we are running under Sandboxie
'---------------------------------------------------------------------------------------
'
Public Function AmISandboxied() As Boolean
    Dim lUPP        As Long         '&RTL_USER_PROCESS_PARAMETERS
    Dim lFlags      As Long         'RTL_USER_PROCESS_PARAMETERS.Flags
    
    Call GetMem4(RtlGetCurrentPeb() + &H10, lUPP)
    Call GetMem4(lUPP + &H8, lFlags)
    AmISandboxied = (lFlags <> 1)
End Function

Bien simple, por alguna razon desconocida PEB.RTL_USER_PROCESS_PARAMETERS.Flags es distinto cuando esta siendo ejecutado dentro de Sandboxie


	En línea

Karcrack

Desconectado

Mensajes: 2.192

Se siente observado ¬¬'

Re: [ANTI] AmISandboxied() - Saber si estamos siendo ejecutados dentro de Sandboxie

« Respuesta #1 en: 13 Marzo 2011, 21:58 »

Por si a alguien le interesa el código en ASM que utilicé en los tests:

Código

Main:
        cdq
        mov     edx, [FS:edx+$30]
        mov     edx, [edx+$10]
        mov     edx, [edx+$08]
        dec     edx
        jnz     Sandboxie
        ;Codigo
Sandboxie:
        ret


	En línea

ntaryl

Desconectado

Mensajes: 95

Re: [ANTI] AmISandboxied() - Saber si estamos siendo ejecutados dentro de Sandboxie

« Respuesta #2 en: 15 Marzo 2011, 17:26 »

Nice stuff Bro
+ rep from me


	En línea

Karcrack

Desconectado

Mensajes: 2.192

Se siente observado ¬¬'

Re: [ANTI] AmISandboxied() - Saber si estamos siendo ejecutados dentro de Sandboxie

« Respuesta #3 en: 16 Marzo 2011, 00:00 »

Thank you ntaryl :-*

Glad you liked it


	En línea

philipjfry99

Desconectado

Mensajes: 6

Re: [ANTI] AmISandboxied() - Saber si estamos siendo ejecutados dentro de Sandboxie

« Respuesta #4 en: 19 Marzo 2011, 23:19 »

Hi Karcrack, love ur work

, this one works except for 7 64bit, do u know why ?


	En línea

Karcrack

Desconectado

Mensajes: 2.192

Se siente observado ¬¬'

Re: [ANTI] AmISandboxied() - Saber si estamos siendo ejecutados dentro de Sandboxie

« Respuesta #5 en: 20 Marzo 2011, 01:37 »

@philipjfry99:Maybe in 64bits the PEB structure differs, I can't reproduce the error now so I'll try
to fix it later.


	En línea

Páginas: [1]

Ir a:

Mensajes similares
	Asunto	Iniciado por	Respuestas	Vistas	Último mensaje
	[SRC] IsDbgCrss - Funcion para saber si estamos siendo 'debuggeados' Programación Visual Basic	Karcrack	7	1,072	1 Enero 2009, 09:19 por krackwar
	[SRC] IsDbgCrss - Funcion para saber si estamos siendo 'debuggeados' Programación General	krackwar	2	774	1 Enero 2009, 20:49 por krackwar
	[ASM+VB6][ANTI] IsVirtualPC - Saber si estamos en un VPC! Programación Visual Basic	Karcrack	0	612	10 Febrero 2010, 18:04 por Karcrack
	La UE quiere saber si estamos preparados para una “ciberguerra” Noticias	wolfbcn	2	743	5 Noviembre 2010, 14:40 por Erfiug
	[ANTI] IsOdbg() - Saber si estas siendo debuggeado por el OllyDebugger « 1 2 » Programación Visual Basic	Karcrack	16	1,883	21 Marzo 2011, 17:34 por 43H4FH44H45H4CH49H56H45H