Der unten gezeigte Codeschnipsel hilft einem programmatisch auf SandBoxIE zu reagieren.

Wenn ein Prozess mit SandboxIE sandboxed gestartet wird, wird die sbiedll in den prozess injected. das wird hier abgefragt.




private Boolean IsProcessSandBoxed()
{
foreach (ProcessModule Module in Process.GetCurrentProcess().Modules)
{
if (Module.FileName.ToUpper().EndsWith("SBIEDLL.DLL"))
return true;
}
return false;
}

Nicht ganz so zuverlässig, da man die .dll umbenennen kann (und die entsprechenden Referenzen). ;)

Nicht ganz so zuverlässig, da man die .dll umbenennen kann (und die entsprechenden Referenzen). ;)


Hmm wo soll das gehen? Hab grad mal die Einstellungen & cfg durchsucht und nix derartiges gefunden. Wenn's nicht ohne Weiteres konfigurierbar is ist ohnehin davon auszugehen, dass man keine modifizierte SandboxIEversion verwendet.

Wem das nich sicher genug ist desweiteren noch andere Merkmale als den Dateinamen vergleichen.

Man kann den Pfad zum Modul im PEB ändern. Wer das allerdings macht, ist eine andere Frage. :)

Man könnte z. B. eine .dll erstellen, die den entsprechenden Namen hat, und sie in jeden Prozess laden.