吾爱破解 - LCG - LSG |安卓破解|病毒分析|破解软件|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

搜索
查看: 487|回复: 6

[内核编程] 沙箱:概述

  [复制链接]
anhkgg 发表于 2019-10-8 11:12

作者:anhkgg
日期:2019年10月4日

最早接触沙箱,对它的印象就是:sandboxie

因为学的是安全相关专业,在网上下载东西非常谨慎,就算通过了杀毒软件扫描,但是也怕有后门或者其他东西,毕竟我也可以静态过掉杀软。

很多软件没有官网,各种下载站的东西真的是让人不放心。

所以在下载某些软件后,只要不影响功能,基本都会用sandboxie来运行软件。如果不行,则放到虚拟机里。

所以我对沙箱最初的概念就是:sandboxie,它是一个轻量级虚拟机,软件的操作都不会影响真正的系统,包括文件、注册表等等资源,可以放肆地想干嘛干嘛。

那时当然是不怎么知道sanboxie是怎么做的。

题外话:最近因为微软的关系,sanboxie已选宣布免费,后续还可能开源,感兴趣的可以关注关注。

沙箱

注:沙箱现在的概念非常杂,某些分析平台后端也叫沙箱,主要关注的行为获取,我这里说的不一样。

那么沙箱究竟是怎么做的呢?

一句话概括的话就是:沙箱内万物基于重定向

重定向,顾名思义,就是重新指定方向,也就是说沙箱能够做到让沙箱内软件操作的文件、注册表等路径重定向到其他位置(沙箱指定位置),这样软件本来想操作的资源就不会被访问或者操作,保证资源的安全性。

这也就是我使用沙箱跑一些不明软件的原因,万一软件被恶意修改过,存在病毒,想破坏系统关键文件,也就不可能了。

言归正传。

重定向我们还有个高级的词叫做“虚拟化”,也可以称作"隔离",说到底沙箱就是为程序提供一个虚拟化环境,也就是隔离环境,并保证程序所有操作都在这个隔离环境内。

再举一个简单的例子理解一下重定向。如果程序要删除c:\boot.ini,沙箱如何做到隔离,保证文件不被删除呢。

  1. 沙箱hook ZwDeleteFile,函数是HOOK_ZwDeleteFile。
  2. 在HOOK_ZwDeleteFile中,讲路径c:\boot.ini加上一个前缀c:\sandbox\boot.ini,转到沙箱内文件路径。
  3. c:\sandbox\boot.ini不存在,会先把c:\boot.ini拷贝到沙箱内。
  4. 然后调用原始ZwDeleteFile,删除c:\sandbox\boot.ini。
NTSTATUS HOOK_ZwDeleteFile(
  POBJECT_ATTRIBUTES ObjectAttributes
) {
   AddPrefix(ObjectAttributes->ObjectName, L"sandbox");//路径加上沙箱前缀
   if(!PathFileExists(ObjectAttributes->ObjectName.Buffer)) {
      CopyFile();//拷贝进来
   }
   return OrigZwDeleteFile(ObjectAttributes);
}

如此就完成了一个简单的删除文件的隔离。

一个完备的沙箱一般需要虚拟化(隔离)处理这些东西:

  1. 文件
  2. 注册表
  3. DCOM(RPCSS)
  4. 服务
  5. 其他如:窗口、类名、消息、token等。
  6. 进程、线程安全
  7. 全局钩子、注入等防护
  8. 驱动加载
  9. ...

下面对比较重要的几个内容进行一下阐述。

文件重定向

保证沙箱内程序创建、修改、删除、读取等文件操作都在沙箱内,不会影响系统中真实的文件。

功能实现方式由很多,主要可以按下面分为:

  1. 用户态实现,hook ntdll.dll文件相关函数,然后路径重定向
  2. 内核态实现,ssdt hook文件相关函数,或者minifilter等技术

用户态实现较为简单,语义更清晰,但是强度不够,有很多方式穿透ntdll.dll这层的文件操作函数,导致文件重定向(隔离)失败,比如用户态通过直接扇区读写来修改文件。

内核态如果使用minifilter来实现,强度基本就够了。

不过sandboxie是在用户态实现的。

注册表重定向

保证沙箱内程序创建、修改、删除、读取等注册表操作都在沙箱内,不会影响系统中真实的注册表信息。

同样,和文件重定向一样,也可以在用户态或内核态使用不同的技术完成,先不细说。

DCOM虚拟化

其实做DCOM虚拟化,最主要是为了防止沙箱内程序逃逸。

所谓逃逸,就是沙箱无法控制沙箱内程序行为,程序可以绕过沙箱,对系统造成破坏。

逃逸的方式有很多,对于支持DCOM的程序,就是其中一种。

举个例子,在wordpad.exe(写字板)插入对象-画笔图片,会启动mspaint,可以看到mspaint是svchost.exe -k DcomLaunch的子进程。

dcom.png

什么意思呢?

一般来说,如果在沙箱中启动wordpad.exe,wordpad.exe的子进程默认也会进入沙箱,但通过DCOM启动的mspaint就没法拉入沙箱了,它不是wordpad.exe子进程。

所以,此时需要虚拟化DCOM,让沙箱内启动一个DCOM服务,这样wordpad.exe直接和沙箱内DCOM通信,启动子进程mspaint.exe,作为沙箱内DCOM服务的子进程,自然也被拉入沙箱内。

如此做到组织逃逸。

这里面涉及到很多技术细节,如RPC,后面细说。

服务虚拟化

其实服务也是逃逸沙箱的一种方式,但是也可以说如果沙箱不支持服务虚拟化,某些程序就不能在沙箱内正常工作。

所以不管出于那种原因考虑,沙箱都得实现服务虚拟化。

至于说服务也能逃逸是怎么回事呢?

很简单,程序通过服务API创建一个服务,然后启动服务,对应服务程序就没法被沙箱接管,逃出沙箱控制。

实现就是接管服务相关API了。

其他

剩下的其他内容,暂时也不分析了,如果有时间,后面继续分享。

最后

前面说的内容都是如何完成虚拟化的东西,一个成熟的沙箱肯定还包括其他很多东西,比如多沙箱的支持、沙箱清理、安全浏览器等等,不过这些都不在我们重点讨论范围,毕竟这些只有在实际产品才会考虑的问题,我们这里只是研究沙箱核心相关的技术。

另外,针对每种重定向技术细节后续会慢慢详细分享,敬请关注。

最后,再来一张简单的沙箱框图。

sandbox.png

如果觉得内容还不错,欢迎持续关注

免费评分

参与人数 8吾爱币 +14 热心值 +8 收起 理由
笙若 + 1 + 1 谢谢@Thanks!
苏紫方璇 + 6 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
40m41h42t + 1 + 1 用心讨论,共获提升!
易玄奥 + 1 + 1 热心回复!
drawning + 1 谢谢@Thanks!
cwl + 1 用心讨论,共获提升!
201 + 2 + 1 Good!通俗易懂
zjh16529 + 3 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

woaicrack 发表于 2019-10-8 11:36
不错,干货很多,学习了
minibeetuaman 发表于 2019-10-8 11:42
tgtg 发表于 2019-10-8 11:50
drawning 发表于 2019-10-8 13:02
学习了,谢谢
孤独的老大哥 发表于 2019-10-8 13:16
长知识啦
oldboyTR 发表于 2019-10-8 23:09
干货,感谢分享
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:禁止回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2019-10-14 21:50

Powered by Discuz!

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表