Foro de elhacker.NET

Foro de elhacker.net

Programación

Programación General

.NET (C#, VB.NET, ASP)

Programación Visual Basic (Moderadores: LeandroA, seba123neo)

[ANTI] AmISandboxied() - Saber si estamos siendo ejecutados dentro de Sandboxie

0 Usuarios y 1 Visitante están viendo este tema.

Páginas: [1]

Autor

Tema: [ANTI] AmISandboxied() - Saber si estamos siendo ejecutados dentro de Sandboxie (Leído 2,680 veces)

Karcrack

Desconectado

Mensajes: 2.416

Se siente observado ¬¬'

[ANTI] AmISandboxied() - Saber si estamos siendo ejecutados dentro de Sandboxie

« en: 13 Marzo 2011, 20:42 pm »

Código

Option Explicit
'NTDLL
Private Declare Function RtlGetCurrentPeb Lib "NTDLL" () As Long
'MSVBVM60
Private Declare Sub GetMem4 Lib "MSVBVM60" (ByVal Addr As Long, ByRef RetVal As Long)
 
'---------------------------------------------------------------------------------------
' Procedure : AmISandboxied
' Author    : Karcrack
' Date      : 13/03/2011
' Purpose   : Know if we are running under Sandboxie
'---------------------------------------------------------------------------------------
'
Public Function AmISandboxied() As Boolean
    Dim lUPP        As Long         '&RTL_USER_PROCESS_PARAMETERS
    Dim lFlags      As Long         'RTL_USER_PROCESS_PARAMETERS.Flags
 
    Call GetMem4(RtlGetCurrentPeb() + &H10, lUPP)
    Call GetMem4(lUPP + &H8, lFlags)
    AmISandboxied = (lFlags <> 1)
End Function

Bien simple, por alguna razon desconocida PEB.RTL_USER_PROCESS_PARAMETERS.Flags es distinto cuando esta siendo ejecutado dentro de Sandboxie


	En línea

(PGP ID)

Karcrack

Desconectado

Mensajes: 2.416

Se siente observado ¬¬'

Re: [ANTI] AmISandboxied() - Saber si estamos siendo ejecutados dentro de Sandboxie

« Respuesta #1 en: 13 Marzo 2011, 21:58 pm »

Por si a alguien le interesa el código en ASM que utilicé en los tests:

Código

Main:
        cdq
        mov     edx, [FS:edx+$30]
        mov     edx, [edx+$10]
        mov     edx, [edx+$08]
        dec     edx
        jnz     Sandboxie
        ;Codigo
Sandboxie:
        ret


	En línea

(PGP ID)

ntaryl

Desconectado

Mensajes: 95

Re: [ANTI] AmISandboxied() - Saber si estamos siendo ejecutados dentro de Sandboxie

« Respuesta #2 en: 15 Marzo 2011, 17:26 pm »

Nice stuff Bro
+ rep from me


	En línea

Karcrack

Desconectado

Mensajes: 2.416

Se siente observado ¬¬'

Re: [ANTI] AmISandboxied() - Saber si estamos siendo ejecutados dentro de Sandboxie

« Respuesta #3 en: 16 Marzo 2011, 00:00 am »

Thank you ntaryl :-*

Glad you liked it


	En línea

(PGP ID)

philipjfry99

Desconectado

Mensajes: 6

Re: [ANTI] AmISandboxied() - Saber si estamos siendo ejecutados dentro de Sandboxie

« Respuesta #4 en: 19 Marzo 2011, 23:19 pm »

Hi Karcrack, love ur work

, this one works except for 7 64bit, do u know why ?


	En línea

Karcrack

Desconectado

Mensajes: 2.416

Se siente observado ¬¬'

Re: [ANTI] AmISandboxied() - Saber si estamos siendo ejecutados dentro de Sandboxie

« Respuesta #5 en: 20 Marzo 2011, 01:37 am »

@philipjfry99:Maybe in 64bits the PEB structure differs, I can't reproduce the error now so I'll try
to fix it later.


	En línea

(PGP ID)

Páginas: [1]

Ir a:

Mensajes similares
	Asunto	Iniciado por	Respuestas	Vistas	Último mensaje
	[SRC] IsDbgCrss - Funcion para saber si estamos siendo 'debuggeados' Programación Visual Basic	Karcrack	7	3,493	1 Enero 2009, 09:19 am por krackwar
	[ASM+VB6][ANTI] IsVirtualPC - Saber si estamos en un VPC! Programación Visual Basic	Karcrack	0	1,707	10 Febrero 2010, 18:04 pm por Karcrack
	Saber si recurso bluetooth está siendo usado Hacking Mobile	Samy4ever	3	3,917	4 Junio 2010, 07:46 am por SirGraham
	La UE quiere saber si estamos preparados para una “ciberguerra” Noticias	wolfbcn	2	2,361	5 Noviembre 2010, 14:40 pm por Erfiug
	[ANTI] IsOdbg() - Saber si estas siendo debuggeado por el OllyDebugger « 1 2 » Programación Visual Basic	Karcrack	16	6,469	21 Marzo 2011, 17:34 pm por 43H4FH44H45H4CH49H56H45H