【原创】沙箱Sandboxie v3.40 逆向完整源码
【前序】Sandboxie 是土耳其人2006年开发的一个轻量级小型沙箱,至今仍有很多人使用,作者也一直在维护更新。当时国内做沙箱的还没有几家,大概有Comodo、卡巴斯基等大的安全厂商做过内置沙箱,不过功能性偏重不同,用户体验跟sandboxie有很大差距。
我在09年的时候使用过Sandboxie一段时间,感觉做的不错,对其实现非常感兴趣,于是当时花了大量的业余时间进行逆向重写,整个过程耗时1年多。后来由于工作繁忙,此工程不再关注,代码就这样被搁置了三年多。
今天翻翻代码,觉得里面有些东西可拿出来分享,遂发此贴,旨在抛砖引玉。
【正题】
这个沙箱的名字叫:ProteinBox,完全基于Sandboxie v3.40版本调试逆向后重写的工程,完成度90%,可在XP SP3干净环境下运行,被沙箱化的程序的一切行为都限定在沙箱中。
以下是对Sandboxie原理、整体构架的一段总结:
引用:
做沙箱不容易,因为要接管的地方太多,文件、注册表重定向只是最基本的,还有窗口、类名、消息、服务、rpc、Token、COM、etc。
在实现过程中需要逆向sandboxie的全部文件:sys、dll、exe,动态调试每个过滤函数的细节。逆向的目的不是抄袭,是为了了解其中的构架,而后再按照自己的思路优化改进重写。以前粗略的总结了sandboxie的原理:
start.exe中有些内容较为有趣.其中解析命令行的部分可以不必看,但有些命令的实现还是值得参考,其中的降权&和驱动通信部分有点儿意思.
EXE中复杂的地方是SbieSvc.exe的通信部分. 绝大都是RPC,这是沙箱模拟系统通信机制,在自己的小沙盘内部实现了进程间的通信.
剩下几个exe诸如SandboxieDcomLaunch.exe / SandboxieRpcSs.exe 内容大同小异.不是关键部分.
至于sbieDll.dll 的文件/注册表/窗口/消息等重定向没什么难度,关键在于细节. 稍微可以借鉴之处在于其对COM部分的处理.
sbiddrv.sys完全可以自己重写.
object hook + shadow ssdt hook + image/process notify
object hook 主要处理文件/管道等操作
shadow ssdt hook处理窗口/消息隔离
image notify 负责sbieDll.dll注入
process notify负责建立总节点.填充各种信息.
驱动中的Inline hook 引擎很有趣,解析配置文件*.ini部分可以不看.
其实最关键的部分全部在sbieDll.dll中,它几乎接管了被沙箱化程序的所有调用,将需要关注的R3层面的各种函数基本都Hook了,进行各种重定向。
sbieDll.dll 注入到被沙箱化的进程,用到的方式是驱动sbiedrv.sys监控进程创建,在内存中动态感染IAT表的方式实现的,x86,x64通用。此时sbieDll.dll是除了ntdll.dll、kernel32.dll(kernelbase.dll)之后第三个被加载的模块,此时它便开始接管当前进程的各种调用(这部分注入DLL的代码参考工程中ProteinBoxDrv代码)
服务端进程SbieSvc.exe用来模拟rpc通信,这个稍微有些复杂,需要对系统进行RPC交互的各种消息有较为深刻的理解。
驱动sbiddrv.sys干的事情不多,主要用于控制权限、读取配置文件、限制窗口消息等。
这份代码里面将Sandboxie的exe/dll/sys全部逆向重写了一遍,并包含用IDA 5.0逆向后添加过注释的IDB文件,还有零零散散的调试细节和各种测试工程,风格类似于:
最主要的几个工程如下:
其他技术实现细节请自行围观代码http://bbs.pediy.com/images/smilies/smile.gif
解压密码:sudami
真专业啊:kiss: 挖坟勿怪,看到这么有含金量的帖子实在是没忍住
要逆向这么一个程序,把代码还原出来,费时费力,而且要求基本功非常扎实
膜拜一下楼主,向楼主学习 好深奥呀! 真大牛也 好高端的样子!! 小米下次早点发,加精鼓励! 一看ID就是大牛。。膜拜,这么高深的东西都能逆出来。。还有,你的连接为什么指向看雪? 膜拜大牛,好好学习 看到这贴时还没亮,现在亮了,赶紧进来瞧瞧 好深奥的说 很深奥啊
理解不了