Posted on 2010-01-04 21:12
S.l.e!ep.¢% 閱讀(798)
評論(0) 編輯 收藏 引用 所屬分類:
RootKit
解決某IM軟件A和某IM軟件B無法在Sandboxie中運行的問題
2009-06-16 13:46
|
今天在Sandboxie中運行TM 2009,結果bugreport.exe蹦出來了�����。調了一下��,發(fā)現(xiàn)是Sandboxie的實現(xiàn)機制和某IM軟件A新增的安全模塊功能沖突導致的����。
Sandboxie中運行的每個進程都會加載SbieDll.dll�,這個模塊會Inline Hook一堆API。而某IM軟件A的TSSafeEdit.dat(其實是一個dll)會檢測一些API有沒有被Inline Hook����,一旦發(fā)現(xiàn)就試圖進行恢復���。
但是TSSafeEdit.dat中的代碼在恢復Inline Hook時為了能順利寫入�����,先調用VirtualProtec給目標內存設置了PAGE_READWRITE(0x04)屬性,但是恢復結束后并沒有設置回原始的PAGE_EXECUTE_READ(0x20)屬性�����。在開啟了DEP的系統(tǒng)上�����,PAGE_READWRITE的區(qū)域自然是不可執(zhí)行的,于是就異常了��。
TSSafeEdit.dat用upx壓縮過����,解開后可以找到如下兩處設置屬性的代碼:
.text:100019CD???????????????? push??? eax
.text:100019CE???????????????? push??? 4????????????? ; PAGE_READWRITE
.text:100019D0???????????????? push??? edi
.text:100019D1???????????????? push??? esi
.text:100019D2???????????????? call??? dword_1000A168 ; kernel32!VirtualProtec
.text:10001CF7???????????????? push??? eax
.text:10001CF8???????????????? push??? 4????????????? ; PAGE_READWRITE
.text:10001CFA???????????????? push??? ebx
.text:10001CFB???????????????? push??? edi
.text:10001CFC???????????????? call??? dword_1000A168 ; kernel32!VirtualProtec
把那兩個push 4改成push 0x20就可以讓TM 2009正常在Sandboxie中運行了����。
需要注意�,TM 2009運行后會檢查TSSafeEdit.dat是否被修改,如果被修改則會試圖獲取原始文件恢復之��。要避免被恢復可以借助Sandboxie的相關機制來進行限制���,如禁止SelfUpdate.exe進程運行等�����。
細心的朋友可能還會有疑問:改成push 0x20不是就等于沒改內存屬性PAGE_EXECUTE_READ(0x20)么��,那么這部分內存仍然是不可寫的,后面恢復Inline Hook時不會出異常么�?答案是不會��。
因為TSSafeEdit.dat恢復Inline Hook時寫內存用的是WriteProcessMemory()而不是memcpy()之類直接內存訪問的方式。對WriteProcessMemory()這種血腥暴力的API來說�,只讀內存屬性是不影響寫入的����。換句話說�,TSSafeEdit.dat中那兩個
VirtualProtec()調用其實是不必要的����,全改成nop也一樣能正常工作。
某IM軟件B和某IM軟件A的情況相同。
|