360沙箱与sandboxie谁更安全

CiInitialize

dl123100 发表于 2013-5-12 10:21
建议确认下新打开的360浏览器是否真的逃逸了。比如可以用process explorer检查下句柄里是否带360SANDBOX字 ...

这个没有逃逸，对360se的特别处理

wowowo

CiInitialize 发表于 2013-5-12 11:15
这个没有逃逸，对360se的特别处理

看大神这么喜欢爆菊，什么时候来自爆区爆爆
        只有代码的人生，是残缺的人生。

kfx13

CiInitialize 发表于 2013-5-12 11:15
这个没有逃逸，对360se的特别处理

特殊处理为什么只在win7x32上有。
这种特殊处理没有危险么，直接高完整性沙箱外打开360se了。。
你认为通过360se不能运行任意程序吗？

kfx13

dl123100 发表于 2013-5-12 10:21
建议确认下新打开的360浏览器是否真的逃逸了。比如可以用process explorer检查下句柄里是否带360SANDBOX字 ...

他这么说我就没什么好说了。

肯定是沙箱外打开的。没装360se的也会打开一个iexplore.exe，只有进程，没有窗口。装了360se会打开一个有窗口的360se.exe
至于是不是正常的，我不知道。mj估计要说360沙箱对iexplore.exe特殊处理了。。。

装了360se会打开一个360se只在win7x32下出现。
我也懒得研究怎么回事了

kfx13

以360的风格，相信做出来的沙箱运行病毒还是很安全的。
不过像我这种经常试装各种软件的，没法用360沙箱，只能用sbie了。。10个软件5个在360沙箱都运行不了

dl123100

CiInitialize 发表于 2013-5-12 06:20
admin权限的可以的，system权限不能直接干因为dup handle没给debug特权开口子，不过在卡巴这么弱的主防 ...

我还是觉得下面这里不太可能成功。
//duplicate new handle with full access
ZwDuplicateObject((HANDLE)CURRENT_PROCESS,hProcess,(HANDLE)CURRENT_PROCESS,&new_handle,PROCESS_ALL_ACCESS,DUPLICATE_SAME_ATTRIBUTES);
得到low access的句柄后再从自身进程复制该low access的句柄并且要求是full access。
找了几个环境（32位XP、Win7,64位Win8）测试了，甚至专门用SYSTEM账户运行，NtDuplicateObject那里都返回失败。

CiInitialize

dl123100 发表于 2013-5-12 13:45
我还是觉得下面这里不太可能成功。
//duplicate new handle with full access
ZwDuplicateObject((HA ...

你是说对admin不行，还是对system？admin的那人不是成功了，很老的方法了，以前机器狗还用

这么对没有自己的security 的对象比如对process应该是可以的，有空我试试

CiInitialize

dl123100 发表于 2013-5-12 13:45
我还是觉得下面这里不太可能成功。
//duplicate new handle with full access
ZwDuplicateObject((HA ...

编辑中

dl123100

CiInitialize 发表于 2013-5-12 14:08
你是说对admin不行，还是对system？admin的那人不是成功了，很老的方法了，以前机器狗还用

这么对没有 ...

我测试了对admin和system都不行，对任意名为avp.exe的进程，Win7下是返回STATUS_INVALID_HANDLE。
因为我这里调试器有问题，单步步过会跑飞，暂时不知道是哪里拒绝了，等会搭建个新的环境再看下。

CiInitialize

dl123100 发表于 2013-5-12 14:44
我测试了对admin和system都不行，对任意名为avp.exe的进程，Win7下是返回STATUS_INVALID_HANDLE。
因为我 ...

invalid handle是不是你close handle了再去取的last error~~