關於 BB之下的， partially limited 和 fully virtualized

显示全部楼层 · 发表于 2013-1-2 22:01:57

2012 可以被強制入沙為 restricted，只是無法輸入中文。

显示全部楼层 · 发表于 2013-1-2 22:34:44

a256886572008 发表于 2013-1-2 22:01
2012 可以被強制入沙為 restricted，只是無法輸入中文。

你这是先信任了QQ，再把QQ手动入沙，看看日志就明白了，创建的另一个主要进程是在BB之外，这样的不一致性，真够呛

2013-01-02 22:23:12 C:\Program Files (x86)\Tencent\QQ\Bin\QQ.exe Access Memory System
2013-01-02 22:23:04 C:\Program Files (x86)\Tencent\QQ\Bin\QQ.exe Access Memory System
2013-01-02 22:23:04 C:\Program Files (x86)\Tencent\QQ\Bin\QQ.exe Access Memory System
2013-01-02 22:23:04 C:\Program Files (x86)\Tencent\QQ\Bin\QQ.exe Access Memory System
2013-01-02 22:22:59 C:\Program Files (x86)\Tencent\QQ\Bin\QQ.exe Access Memory System
2013-01-02 22:22:59 C:\Program Files (x86)\Tencent\QQ\Bin\QQ.exe Access Memory System
2013-01-02 22:22:59 C:\Program Files (x86)\Tencent\QQ\Bin\QQ.exe Access Memory System
2013-01-02 22:22:54 C:\Program Files (x86)\Tencent\QQ\Bin\TXPlatform.exe Sandboxed As Disabled
2013-01-02 22:22:53 C:\Program Files (x86)\Tencent\QQ\Bin\QQ.exe Access Memory C:\Windows\explorer.exe
2013-01-02 22:22:53 C:\Program Files (x86)\Tencent\QQ\Bin\QQ.exe Access Memory System
2013-01-02 22:22:48 C:\Program Files (x86)\Tencent\QQ\Bin\QQ.exe Sandboxed As Restricted

QQ在进入信任之前，Restricted是这样拦截的，能联网才是怪事

2013-01-02 22:25:08 C:\Program Files (x86)\Tencent\QQ\Bin\QQ.exe Modify File \Device\Afd\Endpoint
2013-01-02 22:24:59 C:\Program Files (x86)\Tencent\QQ\Bin\QQ.exe Access COM Interface C:\Program Files (x86)\Tencent\QQ\Bin\TXPlatform.exe
2013-01-02 22:24:59 C:\Program Files (x86)\Tencent\QQ\Bin\QQ.exe Modify File \Device\Afd\Endpoint
2013-01-02 22:24:59 C:\Program Files (x86)\Tencent\QQ\Bin\QQ.exe Modify File \Device\Nsi
2013-01-02 22:24:59 C:\Program Files (x86)\Tencent\QQ\Bin\QQ.exe DNS/RPC Client Access
2013-01-02 22:24:59 C:\Program Files (x86)\Tencent\QQ\Bin\QQ.exe Modify File \Device\Nsi
2013-01-02 22:24:59 C:\Program Files (x86)\Tencent\QQ\Bin\QQ.exe DNS/RPC Client Access
2013-01-02 22:24:59 C:\Program Files (x86)\Tencent\QQ\Bin\QQ.exe Modify File \Device\Afd\Endpoint
2013-01-02 22:24:59 C:\Program Files (x86)\Tencent\QQ\Bin\QQ.exe DNS/RPC Client Access
2013-01-02 22:24:59 C:\Program Files (x86)\Tencent\QQ\Bin\QQ.exe Modify File \Device\Afd\Endpoint
2013-01-02 22:24:59 C:\Program Files (x86)\Tencent\QQ\Bin\QQ.exe DNS/RPC Client Access
2013-01-02 22:24:59 C:\Program Files (x86)\Tencent\QQ\Bin\QQ.exe Modify File \Device\Nsi
2013-01-02 22:24:51 C:\Program Files (x86)\Tencent\QQ\Bin\QQ.exe Direct Disk Access C:\
2013-01-02 22:24:51 C:\Program Files (x86)\Tencent\QQ\Bin\QQ.exe Access Memory C:\Windows\explorer.exe
2013-01-02 22:24:51 C:\Program Files (x86)\Tencent\QQ\Bin\QQ.exe Modify File \Device\Nsi
2013-01-02 22:24:51 C:\Program Files (x86)\Tencent\QQ\Bin\QQ.exe DNS/RPC Client Access
2013-01-02 22:24:51 C:\Program Files (x86)\Tencent\QQ\Bin\QQ.exe Modify File \Device\Nsi
2013-01-02 22:24:51 C:\Program Files (x86)\Tencent\QQ\Bin\QQ.exe Direct Keyboard Access C:\Program Files (x86)\Tencent\QQ\Bin\QQ.exe
2013-01-02 22:24:46 C:\Program Files (x86)\Tencent\QQ\Bin\QQ.exe Sandboxed As Restricted

显示全部楼层 · 发表于 2013-1-2 22:41:42

darkwolf_99 发表于 2013-1-2 22:34
你这是先信任了QQ，再把QQ手动入沙，看看日志就明白了，创建的另一个主要进程是在BB之外，这样的不一 ...

原來是那一個。

跟你講一下，你能在日誌看見的，並不是系統降權。

換句話說，可以修改規則。

--------------------------
以你給的日誌為例子，把 FD規則這一組取消即可。

Windows Sockets Interface
\Device\Afd\Endpoint
\Device\Nsi

這一條加進去之後，所有被BB入沙的，都會被斷網。

只有重定向的才不會被斷。

显示全部楼层 · 发表于 2013-1-2 22:45:44

本帖最后由 darkwolf_99 于 2013-1-2 22:54 编辑

a256886572008 发表于 2013-1-2 22:41
原來是那一個。

跟你講一下，你能在日誌看見的，並不是系統降權。

错误

Partially limited，和Limited里的程序联网正常，restricted以上级别才会拦你说的这些

哎，毛豆手动入沙如此坑爹，权限尽然不一样

显示全部楼层 · 发表于 2013-1-2 23:05:04

實驗一下，看看disabled 這一組 sandbox level 有何效果？

1.把 clt.exe 右鍵入沙

2.執行 explorer as parent

3.如下圖， svchost.exe 會執行 IE，而且這個 IE 會被日誌標記為 disabled

4. 再來，用這個 IE 執行另一個路徑之下的 clt.exe

5.該 clt.exe 一樣會被標記為 disabled

6.再來看看日誌

2013-01-02 22:53:35 D:\software\CLT2\clt.exe Sandboxed As Fully Virtualized

2013-01-02 22:53:54 C:\Program Files\Internet Explorer\IEXPLORE.EXE Sandboxed As Disabled

2013-01-02 22:55:47 C:\Program Files\Internet Explorer\IEXPLORE.EXE Direct Keyboard Access

2013-01-02 22:56:04 D:\software\CLT\clt.exe Sandboxed As Disabled

2013-01-02 22:56:53 D:\software\CLT\clt.exe Direct Disk Access \??\PhysicalDrive0

2013-01-02 22:57:06 D:\software\CLT\clt.exe Direct Memory Access \Device\PhysicalMemory

結果，和一般入沙的權限一樣，AD行為被阻止

7.結論：
那個 disabled ，實際上還是被入沙。

显示全部楼层 · 发表于 2013-1-2 23:34:57

从我的图里就能看出来了，入的是完全虚拟级

手动入沙，还不如自动入BB，权限没继承，大忌

显示全部楼层 · 发表于 2013-1-3 00:09:28

本帖最后由 a256886572008 于 2013-1-3 00:12 编辑

實驗一下，看看強制入沙之後，虛擬svchost.exe 執行的程序，能否繼承主進程的權限？

1.將 clt.exe 強制入沙為 limited

2.執行 explorer as parent

3.再來， svchost.exe 執行 IE。

且 IE 被日誌標記為 disabled

4.用該IE，執行另一個路徑之下的 clt.exe

5.日誌如下

2013-01-02 23:57:34 D:\software\CLT2\clt.exe Sandboxed As Limited

2013-01-02 23:57:47 C:\Program Files\Internet Explorer\IEXPLORE.EXE Sandboxed As Disabled

2013-01-02 23:57:59 C:\WINDOWS\explorer.exe Access COM Interface C:\Program Files\Internet Explorer\IEXPLORE.EXE

2013-01-02 23:58:44 D:\software\CLT\clt.exe Sandboxed As Disabled

那個 clt.exe 被標記為 disabled

6.最後，來看看 clt.exe 是否能阻止 KnownDlls ？
(注：fully virtualized 不攔截 KnownDlls )

如下圖，和 limited 之下的權限一樣，被阻止。

7.結論：
調用虛擬服務執行的程序，其權限還是會繼承主進程。

显示全部楼层 · 发表于 2013-2-20 20:54:43

为何没有后续更新，到底能否选择limited？

[讨论] 關於 BB之下的， partially limited 和 fully virtualized

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

浏览过的版块