【原创】沙箱Sandboxie v3.40 逆向完整源码

sudami

【前序】
Sandboxie 是土耳其人2006年开发的一个轻量级小型沙箱，至今仍有很多人使用，作者也一直在维护更新。当时国内做沙箱的还没有几家，大概有Comodo、卡巴斯基等大的安全厂商做过内置沙箱，不过功能性偏重不同，用户体验跟sandboxie有很大差距。

我在09年的时候使用过Sandboxie一段时间，感觉做的不错，对其实现非常感兴趣，于是当时花了大量的业余时间进行逆向重写，整个过程耗时1年多。后来由于工作繁忙，此工程不再关注，代码就这样被搁置了三年多。

今天翻翻代码，觉得里面有些东西可拿出来分享，遂发此贴，旨在抛砖引玉。

【正题】
这个沙箱的名字叫：ProteinBox，完全基于Sandboxie v3.40版本调试逆向后重写的工程，完成度90%，可在XP SP3干净环境下运行，被沙箱化的程序的一切行为都限定在沙箱中。



以下是对Sandboxie原理、整体构架的一段总结：

引用:
做沙箱不容易，因为要接管的地方太多，文件、注册表重定向只是最基本的，还有窗口、类名、消息、服务、rpc、Token、COM、etc。
在实现过程中需要逆向sandboxie的全部文件：sys、dll、exe，动态调试每个过滤函数的细节。逆向的目的不是抄袭，是为了了解其中的构架，而后再按照自己的思路优化改进重写。以前粗略的总结了sandboxie的原理：

start.exe中有些内容较为有趣.其中解析命令行的部分可以不必看,但有些命令的实现还是值得参考,其中的降权&和驱动通信部分有点儿意思.

EXE中复杂的地方是SbieSvc.exe的通信部分. 绝大都是RPC,这是沙箱模拟系统通信机制,在自己的小沙盘内部实现了进程间的通信.

剩下几个exe诸如SandboxieDcomLaunch.exe / SandboxieRpcSs.exe 内容大同小异.不是关键部分.

至于sbieDll.dll 的文件/注册表/窗口/消息等重定向没什么难度,关键在于细节. 稍微可以借鉴之处在于其对COM部分的处理.

sbiddrv.sys完全可以自己重写.
object hook + shadow ssdt hook + image/process notify
object hook 主要处理文件/管道等操作
shadow ssdt hook处理窗口/消息隔离
image notify 负责sbieDll.dll注入
process notify负责建立总节点.填充各种信息.
驱动中的Inline hook 引擎很有趣,解析配置文件*.ini部分可以不看.

其实最关键的部分全部在sbieDll.dll中，它几乎接管了被沙箱化程序的所有调用，将需要关注的R3层面的各种函数基本都Hook了，进行各种重定向。

sbieDll.dll 注入到被沙箱化的进程，用到的方式是驱动sbiedrv.sys监控进程创建，在内存中动态感染IAT表的方式实现的，x86,x64通用。此时sbieDll.dll是除了ntdll.dll、kernel32.dll（kernelbase.dll）之后第三个被加载的模块，此时它便开始接管当前进程的各种调用（这部分注入DLL的代码参考工程中ProteinBoxDrv代码）

服务端进程SbieSvc.exe用来模拟rpc通信，这个稍微有些复杂，需要对系统进行RPC交互的各种消息有较为深刻的理解。

驱动sbiddrv.sys干的事情不多，主要用于控制权限、读取配置文件、限制窗口消息等。


这份代码里面将Sandboxie的exe/dll/sys全部逆向重写了一遍，并包含用IDA 5.0逆向后添加过注释的IDB文件，还有零零散散的调试细节和各种测试工程，风格类似于：




最主要的几个工程如下：


其他技术实现细节请自行围观代码
解压密码：sudami

yamgxu

真专业啊

LzSkyline

挖坟勿怪，看到这么有含金量的帖子实在是没忍住

要逆向这么一个程序，把代码还原出来，费时费力，而且要求基本功非常扎实

膜拜一下楼主，向楼主学习

sugie0708

好深奥呀！

谎言

真大牛也

a408115319

好高端的样子！！

Hmily

小米下次早点发，加精鼓励！

吾爱扣扣

一看ID就是大牛。。膜拜，这么高深的东西都能逆出来。。还有，你的连接为什么指向看雪？

reputationly

膜拜大牛，好好学习

小king

看到这贴时还没亮，现在亮了，赶紧进来瞧瞧

空心

好深奥的说

213

很深奥啊
理解不了