沙箱：概述

作者：anhkgg
日期：2019年10月4日

最早接触沙箱，对它的印象就是：sandboxie。

因为学的是安全相关专业，在网上下载东西非常谨慎，就算通过了杀毒软件扫描，但是也怕有后门或者其他东西，毕竟我也可以静态过掉杀软。

很多软件没有官网，各种下载站的东西真的是让人不放心。

所以在下载某些软件后，只要不影响功能，基本都会用sandboxie来运行软件。如果不行，则放到虚拟机里。

所以我对沙箱最初的概念就是：sandboxie，它是一个轻量级虚拟机，软件的操作都不会影响真正的系统，包括文件、注册表等等资源，可以放肆地想干嘛干嘛。

那时当然是不怎么知道sanboxie是怎么做的。

题外话：最近因为微软的关系，sanboxie已选宣布免费，后续还可能开源，感兴趣的可以关注关注。

沙箱

注：沙箱现在的概念非常杂，某些分析平台后端也叫沙箱，主要关注的行为获取，我这里说的不一样。

那么沙箱究竟是怎么做的呢？

一句话概括的话就是：沙箱内万物基于重定向。

重定向，顾名思义，就是重新指定方向，也就是说沙箱能够做到让沙箱内软件操作的文件、注册表等路径重定向到其他位置（沙箱指定位置），这样软件本来想操作的资源就不会被访问或者操作，保证资源的安全性。

这也就是我使用沙箱跑一些不明软件的原因，万一软件被恶意修改过，存在病毒，想破坏系统关键文件，也就不可能了。

言归正传。

重定向我们还有个高级的词叫做“虚拟化”，也可以称作"隔离"，说到底沙箱就是为程序提供一个虚拟化环境，也就是隔离环境，并保证程序所有操作都在这个隔离环境内。

再举一个简单的例子理解一下重定向。如果程序要删除c:\boot.ini，沙箱如何做到隔离，保证文件不被删除呢。

1. 沙箱hook ZwDeleteFile，函数是HOOK_ZwDeleteFile。
2. 在HOOK_ZwDeleteFile中，讲路径c:\boot.ini加上一个前缀c:\sandbox\boot.ini，转到沙箱内文件路径。
3. c:\sandbox\boot.ini不存在，会先把c:\boot.ini拷贝到沙箱内。
4. 然后调用原始ZwDeleteFile，删除c:\sandbox\boot.ini。

NTSTATUS HOOK_ZwDeleteFile(
  POBJECT_ATTRIBUTES ObjectAttributes
) {
   AddPrefix(ObjectAttributes->ObjectName, L"sandbox");//路径加上沙箱前缀
   if(!PathFileExists(ObjectAttributes->ObjectName.Buffer)) {
      CopyFile();//拷贝进来
   }
   return OrigZwDeleteFile(ObjectAttributes);
}

如此就完成了一个简单的删除文件的隔离。

一个完备的沙箱一般需要虚拟化（隔离）处理这些东西：

1. 文件
2. 注册表
3. DCOM(RPCSS)
4. 服务
5. 其他如：窗口、类名、消息、token等。
6. 进程、线程安全
7. 全局钩子、注入等防护
8. 驱动加载
9. …

下面对比较重要的几个内容进行一下阐述。

文件重定向

保证沙箱内程序创建、修改、删除、读取等文件操作都在沙箱内，不会影响系统中真实的文件。

功能实现方式由很多，主要可以按下面分为：

1. 用户态实现，hook ntdll.dll文件相关函数，然后路径重定向
2. 内核态实现，ssdt hook文件相关函数，或者minifilter等技术

用户态实现较为简单，语义更清晰，但是强度不够，有很多方式穿透ntdll.dll这层的文件操作函数，导致文件重定向（隔离）失败，比如用户态通过直接扇区读写来修改文件。

内核态如果使用minifilter来实现，强度基本就够了。

不过sandboxie是在用户态实现的。

注册表重定向

保证沙箱内程序创建、修改、删除、读取等注册表操作都在沙箱内，不会影响系统中真实的注册表信息。

同样，和文件重定向一样，也可以在用户态或内核态使用不同的技术完成，先不细说。

DCOM虚拟化

其实做DCOM虚拟化，最主要是为了防止沙箱内程序逃逸。

所谓逃逸，就是沙箱无法控制沙箱内程序行为，程序可以绕过沙箱，对系统造成破坏。

逃逸的方式有很多，对于支持DCOM的程序，就是其中一种。

举个例子，在wordpad.exe(写字板）插入对象-画笔图片，会启动mspaint，可以看到mspaint是svchost.exe -k DcomLaunch的子进程。

什么意思呢？

一般来说，如果在沙箱中启动wordpad.exe，wordpad.exe的子进程默认也会进入沙箱，但通过DCOM启动的mspaint就没法拉入沙箱了，它不是wordpad.exe子进程。

所以，此时需要虚拟化DCOM，让沙箱内启动一个DCOM服务，这样wordpad.exe直接和沙箱内DCOM通信，启动子进程mspaint.exe，作为沙箱内DCOM服务的子进程，自然也被拉入沙箱内。

如此做到组织逃逸。

这里面涉及到很多技术细节，如RPC，后面细说。

服务虚拟化

其实服务也是逃逸沙箱的一种方式，但是也可以说如果沙箱不支持服务虚拟化，某些程序就不能在沙箱内正常工作。

所以不管出于那种原因考虑，沙箱都得实现服务虚拟化。

至于说服务也能逃逸是怎么回事呢？

很简单，程序通过服务API创建一个服务，然后启动服务，对应服务程序就没法被沙箱接管，逃出沙箱控制。

实现就是接管服务相关API了。

其他

剩下的其他内容，暂时也不分析了，如果有时间，后面继续分享。

最后

前面说的内容都是如何完成虚拟化的东西，一个成熟的沙箱肯定还包括其他很多东西，比如多沙箱的支持、沙箱清理、安全浏览器等等，不过这些都不在我们重点讨论范围，毕竟这些只有在实际产品才会考虑的问题，我们这里只是研究沙箱核心相关的技术。

另外，针对每种重定向技术细节后续会慢慢详细分享，敬请关注。

最后，再来一张简单的沙箱框图。

如果觉得内容还不错，欢迎关注公众号：汉客儿