[原创]Sandboxie 注册算法分析-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]Sandboxie 注册算法分析

发表于: 2010-11-7 00:35 195459

[原创]Sandboxie 注册算法分析

uuk

2010-11-7 00:35

195459

查看主题内容

收藏・69

免费・7

支持

最新回复 (158) ◀ 1 2 3 4 5 6 7 ▶
lingyu 雪币： 1022 活跃值： (31) 能力值： ( LV4，RANK：50 ) 在线值：发帖 29 回帖 449 粉丝 0 关注私信	lingyu 1 51 楼 [QUOTE=uuk;886104]多谢测试！我现在没有64位系统供测试，所以也不知道具体原因。可能是：64位的驱动要强制签名，没有签名不让运行。错误码 [C0000080] 应该是驱动没加载成功，你试试禁止强制签名。我在用IDA分析时看到有类似的错误码，是在驱动某些函数调用失败后出现的。...[/QUOTE] 驱动程序签名验证过程不太清楚，不过认为可行的一种方案是： 1、自己生成一个证书，然后安装为可信任 2、用自己的证书给驱动程序颁发签名验证驱动时，如果操作系统发现签名的颁发者为可信任的，应该就应许加载 2010-11-10 12:46 0
rcbblgy 雪币： 150 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 52 粉丝 0 关注私信	rcbblgy 52 楼主要是第一步如何实现？貌似系统要求的签名不只是本机可信的。 2010-11-10 13:04 0
poppig 雪币： 184 活跃值： (1298) 能力值： ( LV6，RANK：90 ) 在线值：发帖 23 回帖 157 粉丝 1 关注私信	poppig 2 53 楼已经激活,keygen可用 2010-11-10 13:58 0
xinhaozs 雪币： 15 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 0 关注私信	xinhaozs 54 楼是用10日的激活的吗？还是用之前的 2010-11-10 14:04 0
Sefen 雪币： 222 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 28 粉丝 0 关注私信	Sefen 55 楼在虚拟机XP上已经激活 2010-11-10 14:18 0
poppig 雪币： 184 活跃值： (1298) 能力值： ( LV6，RANK：90 ) 在线值：发帖 23 回帖 157 粉丝 1 关注私信	poppig 2 56 楼当然是最新的keygen激活的啦 2010-11-10 14:49 0
lingyu 雪币： 1022 活跃值： (31) 能力值： ( LV4，RANK：50 ) 在线值：发帖 29 回帖 449 粉丝 0 关注私信	lingyu 1 57 楼第一步我也没研究过，不过IE可以添加可信任证书，所以驱动验证应该也是可以添加的。假设需要联机验证，那么无网络连接的电脑是不是就不能正常工作了？所以本地验证肯定能够通过，只是需要添加信任证书。 2010-11-10 15:58 0
rcbblgy 雪币： 150 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 52 粉丝 0 关注私信	rcbblgy 58 楼证书=签名？ 2010-11-10 16:47 0
lingyu 雪币： 1022 活跃值： (31) 能力值： ( LV4，RANK：50 ) 在线值：发帖 29 回帖 449 粉丝 0 关注私信	lingyu 1 59 楼证书可以用来签名、交换密钥、SSL中使用等等上传的附件：未命名.jpg （90.66kb，416次下载） 2010-11-10 17:08 0
rcbblgy 雪币： 150 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 52 粉丝 0 关注私信	rcbblgy 60 楼了解了，thx 2010-11-10 17:19 0
zhuwg 雪币： 451 活跃值： (78) 能力值： ( LV12，RANK：470 ) 在线值：发帖 40 回帖 739 粉丝 6 关注私信	zhuwg 11 61 楼在我的xp home sp3上keygen.exe溢出显示了第一行 Make sure SbieDrv.sys has been patched already 就溢出了上传的附件： 1.jpg （65.82kb，436次下载） 2.jpg （57.41kb，435次下载） 2010-11-10 18:27 0
uuk 雪币： 379 活跃值： (233) 能力值： ( LV8，RANK：130 ) 在线值：发帖 9 回帖 50 粉丝 0 关注私信	uuk 3 62 楼在这一行 Make sure SbieDrv.sys has been patched already 和下一行显示 Please input version 之间是几个 mpz_ 打头的函数（GMP库），应该是这几个函数的原因。可能与CPU或者系统有关，具体的原因我也不清楚，你可以试着重新编译或者用别的大数库实现。 2010-11-10 22:12 0
uuk 雪币： 379 活跃值： (233) 能力值： ( LV8，RANK：130 ) 在线值：发帖 9 回帖 50 粉丝 0 关注私信	uuk 3 63 楼数字签名信息也是PE文件里面的一个段，里面有签名的一些信息。以简单RSA为例，里面可能有RSA公钥、要加密文件中的哪些重要数据、以及加密后的密文。要验证签名就将重要数据做RSA加密，然后与密文比较，相同则签名有效。上面是我在网上找到的大致介绍，但是签名段具体的格式就不知道了。系统可能可以通过验证证书的颁发机构从而验证证书的有效性，测试证书则通不过这个验证。 2010-11-10 22:46 0
mafangming 雪币： 190 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 45 粉丝 2 关注私信	mafangming 64 楼楼主分析的很详细. 2010-11-10 22:52 0
耳聋雪币： 66 活跃值： (26) 能力值： ( LV4，RANK：50 ) 在线值：发帖 72 回帖 460 粉丝 0 关注私信	耳聋 1 65 楼 patch之后运行keygen，input完信息之后，keygen闪退，看不到激活码呃…… 2010-11-11 11:39 0
xinhaozs 雪币： 15 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 0 关注私信	xinhaozs 66 楼用CMD打开运行完PATCH之后重起再用CMD打开KEYGEN哪个 2010-11-11 13:51 0
eausky 雪币： 213 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	eausky 67 楼 3.50运行patch，没发现有bak文件，也没有正常patch？ Fileinfo: patch for Sandboxie Author: uuk Date: 2010-11-06 * Start patching * Error: SbieDrv.sys is wrong, or it's already patched! * Patch ended! * 2010-11-11 15:27 0
TTuan 雪币： 101 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	TTuan 68 楼先支持下！！！！ 2010-11-11 16:17 0
uuk 雪币： 379 活跃值： (233) 能力值： ( LV8，RANK：130 ) 在线值：发帖 9 回帖 50 粉丝 0 关注私信	uuk 3 69 楼 SbieDrv.sys 的数字签名如果为无效，一般是 Patch 成功了 2010-11-11 23:24 0
Greater 雪币： 13 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 230 粉丝 0 关注私信	Greater 70 楼很好很强大说实在的加入密码学的算法就是让人看得头疼更别说是大数运算求余啦佩服楼主的求知精神。。。 2010-11-12 09:41 0
flyingayi 雪币： 478 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 178 粉丝 0 关注私信	flyingayi 71 楼标记。关注。。。。。 2010-11-12 09:55 0
lionboy 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	lionboy 72 楼 32Bit Win7 下测试了七八次，都没成功，有成功的没，分享下经验，总是第一步 Patch 失败 2010-11-12 15:56 0
uuk 雪币： 379 活跃值： (233) 能力值： ( LV8，RANK：130 ) 在线值：发帖 9 回帖 50 粉丝 0 关注私信	uuk 3 73 楼我重新改了下 Patch.exe ，如果已经打过补丁，再次运行会提示“Error: SbieDrv.sys is already patched!” 失败会不会是权限不够？如果有错误码的请贴出来，好判断错误原因 2010-11-12 19:18 0
lionboy 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	lionboy 74 楼用管理员权限Patch后，查看签名发现没有任何变化，再Patch就会提示“Error: SbieDrv.sys is already patched!”，重启后查看签名依然存在，开机运行和开机不运行沙箱都尝试过了 2010-11-13 10:36 0
uuk 雪币： 379 活跃值： (233) 能力值： ( LV8，RANK：130 ) 在线值：发帖 9 回帖 50 粉丝 0 关注私信	uuk 3 75 楼要看签名是否有效，原文件的签名是有效的，打过补丁后签名是无效的，另外Win7是有强制签名的，http://bbs.kafan.cn/forum-redirect-goto-findpost-ptid-834207-pid-15785265-fromuid-338767.html 2010-11-13 10:42 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

uuk

发帖

回帖

130

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (158) ◀ 1 2 3 4 5 6 7 ▶
lingyu 雪币： 1022 活跃值： (31) 能力值： ( LV4，RANK：50 ) 在线值：发帖 29 回帖 449 粉丝 0 关注私信	lingyu 1 51 楼 [QUOTE=uuk;886104]多谢测试！我现在没有64位系统供测试，所以也不知道具体原因。可能是：64位的驱动要强制签名，没有签名不让运行。错误码 [C0000080] 应该是驱动没加载成功，你试试禁止强制签名。我在用IDA分析时看到有类似的错误码，是在驱动某些函数调用失败后出现的。...[/QUOTE] 驱动程序签名验证过程不太清楚，不过认为可行的一种方案是： 1、自己生成一个证书，然后安装为可信任 2、用自己的证书给驱动程序颁发签名验证驱动时，如果操作系统发现签名的颁发者为可信任的，应该就应许加载 2010-11-10 12:46 0
rcbblgy 雪币： 150 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 52 粉丝 0 关注私信	rcbblgy 52 楼主要是第一步如何实现？貌似系统要求的签名不只是本机可信的。 2010-11-10 13:04 0
poppig 雪币： 184 活跃值： (1298) 能力值： ( LV6，RANK：90 ) 在线值：发帖 23 回帖 157 粉丝 1 关注私信	poppig 2 53 楼已经激活,keygen可用 2010-11-10 13:58 0
xinhaozs 雪币： 15 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 0 关注私信	xinhaozs 54 楼是用10日的激活的吗？还是用之前的 2010-11-10 14:04 0
Sefen 雪币： 222 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 28 粉丝 0 关注私信	Sefen 55 楼在虚拟机XP上已经激活 2010-11-10 14:18 0
poppig 雪币： 184 活跃值： (1298) 能力值： ( LV6，RANK：90 ) 在线值：发帖 23 回帖 157 粉丝 1 关注私信	poppig 2 56 楼当然是最新的keygen激活的啦 2010-11-10 14:49 0
lingyu 雪币： 1022 活跃值： (31) 能力值： ( LV4，RANK：50 ) 在线值：发帖 29 回帖 449 粉丝 0 关注私信	lingyu 1 57 楼第一步我也没研究过，不过IE可以添加可信任证书，所以驱动验证应该也是可以添加的。假设需要联机验证，那么无网络连接的电脑是不是就不能正常工作了？所以本地验证肯定能够通过，只是需要添加信任证书。 2010-11-10 15:58 0
rcbblgy 雪币： 150 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 52 粉丝 0 关注私信	rcbblgy 58 楼证书=签名？ 2010-11-10 16:47 0
lingyu 雪币： 1022 活跃值： (31) 能力值： ( LV4，RANK：50 ) 在线值：发帖 29 回帖 449 粉丝 0 关注私信	lingyu 1 59 楼证书可以用来签名、交换密钥、SSL中使用等等上传的附件：未命名.jpg （90.66kb，416次下载） 2010-11-10 17:08 0
rcbblgy 雪币： 150 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 52 粉丝 0 关注私信	rcbblgy 60 楼了解了，thx 2010-11-10 17:19 0
zhuwg 雪币： 451 活跃值： (78) 能力值： ( LV12，RANK：470 ) 在线值：发帖 40 回帖 739 粉丝 6 关注私信	zhuwg 11 61 楼在我的xp home sp3上keygen.exe溢出显示了第一行 Make sure SbieDrv.sys has been patched already 就溢出了上传的附件： 1.jpg （65.82kb，436次下载） 2.jpg （57.41kb，435次下载） 2010-11-10 18:27 0
uuk 雪币： 379 活跃值： (233) 能力值： ( LV8，RANK：130 ) 在线值：发帖 9 回帖 50 粉丝 0 关注私信	uuk 3 62 楼在这一行 Make sure SbieDrv.sys has been patched already 和下一行显示 Please input version 之间是几个 mpz_ 打头的函数（GMP库），应该是这几个函数的原因。可能与CPU或者系统有关，具体的原因我也不清楚，你可以试着重新编译或者用别的大数库实现。 2010-11-10 22:12 0
uuk 雪币： 379 活跃值： (233) 能力值： ( LV8，RANK：130 ) 在线值：发帖 9 回帖 50 粉丝 0 关注私信	uuk 3 63 楼数字签名信息也是PE文件里面的一个段，里面有签名的一些信息。以简单RSA为例，里面可能有RSA公钥、要加密文件中的哪些重要数据、以及加密后的密文。要验证签名就将重要数据做RSA加密，然后与密文比较，相同则签名有效。上面是我在网上找到的大致介绍，但是签名段具体的格式就不知道了。系统可能可以通过验证证书的颁发机构从而验证证书的有效性，测试证书则通不过这个验证。 2010-11-10 22:46 0
mafangming 雪币： 190 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 45 粉丝 2 关注私信	mafangming 64 楼楼主分析的很详细. 2010-11-10 22:52 0
耳聋雪币： 66 活跃值： (26) 能力值： ( LV4，RANK：50 ) 在线值：发帖 72 回帖 460 粉丝 0 关注私信	耳聋 1 65 楼 patch之后运行keygen，input完信息之后，keygen闪退，看不到激活码呃…… 2010-11-11 11:39 0
xinhaozs 雪币： 15 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 0 关注私信	xinhaozs 66 楼用CMD打开运行完PATCH之后重起再用CMD打开KEYGEN哪个 2010-11-11 13:51 0
eausky 雪币： 213 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	eausky 67 楼 3.50运行patch，没发现有bak文件，也没有正常patch？ Fileinfo: patch for Sandboxie Author: uuk Date: 2010-11-06 * Start patching * Error: SbieDrv.sys is wrong, or it's already patched! * Patch ended! * 2010-11-11 15:27 0
TTuan 雪币： 101 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	TTuan 68 楼先支持下！！！！ 2010-11-11 16:17 0
uuk 雪币： 379 活跃值： (233) 能力值： ( LV8，RANK：130 ) 在线值：发帖 9 回帖 50 粉丝 0 关注私信	uuk 3 69 楼 SbieDrv.sys 的数字签名如果为无效，一般是 Patch 成功了 2010-11-11 23:24 0
Greater 雪币： 13 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 230 粉丝 0 关注私信	Greater 70 楼很好很强大说实在的加入密码学的算法就是让人看得头疼更别说是大数运算求余啦佩服楼主的求知精神。。。 2010-11-12 09:41 0
flyingayi 雪币： 478 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 178 粉丝 0 关注私信	flyingayi 71 楼标记。关注。。。。。 2010-11-12 09:55 0
lionboy 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	lionboy 72 楼 32Bit Win7 下测试了七八次，都没成功，有成功的没，分享下经验，总是第一步 Patch 失败 2010-11-12 15:56 0
uuk 雪币： 379 活跃值： (233) 能力值： ( LV8，RANK：130 ) 在线值：发帖 9 回帖 50 粉丝 0 关注私信	uuk 3 73 楼我重新改了下 Patch.exe ，如果已经打过补丁，再次运行会提示“Error: SbieDrv.sys is already patched!” 失败会不会是权限不够？如果有错误码的请贴出来，好判断错误原因 2010-11-12 19:18 0
lionboy 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	lionboy 74 楼用管理员权限Patch后，查看签名发现没有任何变化，再Patch就会提示“Error: SbieDrv.sys is already patched!”，重启后查看签名依然存在，开机运行和开机不运行沙箱都尝试过了 2010-11-13 10:36 0
uuk 雪币： 379 活跃值： (233) 能力值： ( LV8，RANK：130 ) 在线值：发帖 9 回帖 50 粉丝 0 关注私信	uuk 3 75 楼要看签名是否有效，原文件的签名是有效的，打过补丁后签名是无效的，另外Win7是有强制签名的，http://bbs.kafan.cn/forum-redirect-goto-findpost-ptid-834207-pid-15785265-fromuid-338767.html 2010-11-13 10:42 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复