作者:shenzi
链接:http://blog.csdn.net/shenzi
Windows提供了一个作业(job)内核对象,它允许我们将进城组合在一起并创建一个“沙箱”来限制进城能够做什么。最好将作业对象想象成一个进程容器。但是创建只包含一个进程的作业同样非常有用,因为这样可以对进程施加平时不能施加的限制。
验证当前进程是否在一个现有的作业控制之下:
BOOL IsProcessInJob(
HANDLE hProcess,
HANDLE hJob,
PBOOL pbInJob);
如果进程已与一个作业关联,就无法将当前进程或者它的任何子进程从作业中去除。这个安全特性可以确保进程无法摆脱对它施加的限制。然后,通过以下调用来创建一个新的作业内核对象:
HANDLE CreateJobObject(
PSECURITY_ATTRIBUTES psa,
PCTSTR pszName);
最后一个参数对此作业对象进行命名,使其能够由另一个进程通过OpenJobObject函数进行访问,如下所示:
HANDLE OpenJobObject(
DWORD dwDesiredAccess,
BOOL bInheritHandle,
PCTSTR pszName);
2.对作业中的进程施加限制
创建好一个作业之后,接着一般会根据作业中的进程能够执行哪些操作来建立一个沙箱(即施加限制)。可以向作业应用以下几种类型的限制:
- 基本限额和扩展基本限额,用于防止作业中的进程独占系统资源;
- 基本UI限制,用于防止作业内的进程更改用户界面;
- 安全限额,用于防止作业内的进程访问安全资源(文件。注册表子项等);
可以通过以下函数向作业施加限制:
BOOL SetInformationJobObject(
HANDLE hJob,
JOBOBJECTINFOCLASS JobObjectInformationClass,
PVOID pJobObjectInformation,
DWORD cbJobObjectInformationSize);
| 限制类型 | 第二个参数的值 | 第三个参数所对应的数据结构 |
|---|---|---|
| 基本限额 | JobObjectBasicLimitInformation | JOBOBJECT_BASIC_LIMIT_INFORMATION |
| 扩展后的基本限额 | JobObjectExtendedLimitInformation | JOBOBJECT_EXTENDED_LIMIT_INFORMATION |
| 基本的UI限额 | JobObjectBasicUIRestrictions | JOBOBJECT_BASIC_UI_RESTRICTIONS |
| 安全限额 | JobObjectSecurityLimitInformation | JOBOBJECT_SECURITY_LIMIT_INFORMATION |
3.将进程放入作业中
我们在将进程放入作业中时,常常调用CreateProcess来创建进程,且传入CREATE_SUSPENDED标志,暂时挂起进程。如果允许子进程 立即开始执行代码,它会逃离我们的“沙箱”,成功地做些我们禁止它做的事情。所以,在创建子进程且允许它运行之前,必须调用一下函数,将进程显示地放入新建的作业中:
BOOL AssignProcessToJobObject(
HANDLE hJob,
HANDLE hProcess);
这个函数将向系统表明将此进程当作现有作业的一部分。注意,这个函数只允许将尚未分配给任何作业的一个进程分配给一个作业。
在调用了 AssignProcessToJobObject之后,再调用ResumeThread ,使进程的线程可以在作业的限制下执行代码。
4.终止作业中的所有进程
BOOL TerminateJobObject(
HANDLE hJob,
UINT uExitCode);
这类似于为作业内的每一个进程调用TerminateProcess,将所有退出代码设为uExitCode。
629
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
