Posted on 2010-01-04 21:12
S.l.e!ep.¢% 閱讀(818)
評(píng)論(0) 編輯 收藏 引用 所屬分類:
RootKit
解決某IM軟件A和某IM軟件B無(wú)法在Sandboxie中運(yùn)行的問(wèn)題
2009-06-16 13:46
|
今天在Sandboxie中運(yùn)行TM 2009��,結(jié)果bugreport.exe蹦出來(lái)了��。調(diào)了一下��,發(fā)現(xiàn)是Sandboxie的實(shí)現(xiàn)機(jī)制和某IM軟件A新增的安全模塊功能沖突導(dǎo)致的。
Sandboxie中運(yùn)行的每個(gè)進(jìn)程都會(huì)加載SbieDll.dll��,這個(gè)模塊會(huì)Inline Hook一堆API��。而某IM軟件A的TSSafeEdit.dat(其實(shí)是一個(gè)dll)會(huì)檢測(cè)一些API有沒(méi)有被Inline Hook��,一旦發(fā)現(xiàn)就試圖進(jìn)行恢復(fù)。
但是TSSafeEdit.dat中的代碼在恢復(fù)Inline Hook時(shí)為了能順利寫(xiě)入,先調(diào)用VirtualProtec給目標(biāo)內(nèi)存設(shè)置了PAGE_READWRITE(0x04)屬性��,但是恢復(fù)結(jié)束后并沒(méi)有設(shè)置回原始的PAGE_EXECUTE_READ(0x20)屬性��。在開(kāi)啟了DEP的系統(tǒng)上��,PAGE_READWRITE的區(qū)域自然是不可執(zhí)行的,于是就異常了。
TSSafeEdit.dat用upx壓縮過(guò)��,解開(kāi)后可以找到如下兩處設(shè)置屬性的代碼:
.text:100019CD???????????????? push??? eax
.text:100019CE???????????????? push??? 4????????????? ; PAGE_READWRITE
.text:100019D0???????????????? push??? edi
.text:100019D1???????????????? push??? esi
.text:100019D2???????????????? call??? dword_1000A168 ; kernel32!VirtualProtec
.text:10001CF7???????????????? push??? eax
.text:10001CF8???????????????? push??? 4????????????? ; PAGE_READWRITE
.text:10001CFA???????????????? push??? ebx
.text:10001CFB???????????????? push??? edi
.text:10001CFC???????????????? call??? dword_1000A168 ; kernel32!VirtualProtec
把那兩個(gè)push 4改成push 0x20就可以讓TM 2009正常在Sandboxie中運(yùn)行了��。
需要注意��,TM 2009運(yùn)行后會(huì)檢查T(mén)SSafeEdit.dat是否被修改,如果被修改則會(huì)試圖獲取原始文件恢復(fù)之。要避免被恢復(fù)可以借助Sandboxie的相關(guān)機(jī)制來(lái)進(jìn)行限制��,如禁止SelfUpdate.exe進(jìn)程運(yùn)行等��。
細(xì)心的朋友可能還會(huì)有疑問(wèn):改成push 0x20不是就等于沒(méi)改內(nèi)存屬性PAGE_EXECUTE_READ(0x20)么,那么這部分內(nèi)存仍然是不可寫(xiě)的,后面恢復(fù)Inline Hook時(shí)不會(huì)出異常么��?答案是不會(huì)��。
因?yàn)門(mén)SSafeEdit.dat恢復(fù)Inline Hook時(shí)寫(xiě)內(nèi)存用的是WriteProcessMemory()而不是memcpy()之類直接內(nèi)存訪問(wèn)的方式��。對(duì)WriteProcessMemory()這種血腥暴力的API來(lái)說(shuō),只讀內(nèi)存屬性是不影響寫(xiě)入的。換句話說(shuō)��,TSSafeEdit.dat中那兩個(gè)
VirtualProtec()調(diào)用其實(shí)是不必要的��,全改成nop也一樣能正常工作��。
某IM軟件B和某IM軟件A的情況相同。
|