Posted on 2010-01-04 21:12
S.l.e!ep.¢% 閱讀(800)
評論(0) 編輯 收藏 引用 所屬分類:
RootKit
解決某IM軟件A和某IM軟件B無法在Sandboxie中運行的問題
2009-06-16 13:46
|
今天在Sandboxie中運行TM 2009,結果bugreport.exe蹦出來了。調了一下,發現是Sandboxie的實現機制和某IM軟件A新增的安全模塊功能沖突導致的。
Sandboxie中運行的每個進程都會加載SbieDll.dll,這個模塊會Inline Hook一堆API。而某IM軟件A的TSSafeEdit.dat(其實是一個dll)會檢測一些API有沒有被Inline Hook,一旦發現就試圖進行恢復。
但是TSSafeEdit.dat中的代碼在恢復Inline Hook時為了能順利寫入,先調用VirtualProtec給目標內存設置了PAGE_READWRITE(0x04)屬性,但是恢復結束后并沒有設置回原始的PAGE_EXECUTE_READ(0x20)屬性。在開啟了DEP的系統上,PAGE_READWRITE的區域自然是不可執行的,于是就異常了。
TSSafeEdit.dat用upx壓縮過,解開后可以找到如下兩處設置屬性的代碼:
.text:100019CD???????????????? push??? eax
.text:100019CE???????????????? push??? 4????????????? ; PAGE_READWRITE
.text:100019D0???????????????? push??? edi
.text:100019D1???????????????? push??? esi
.text:100019D2???????????????? call??? dword_1000A168 ; kernel32!VirtualProtec
.text:10001CF7???????????????? push??? eax
.text:10001CF8???????????????? push??? 4????????????? ; PAGE_READWRITE
.text:10001CFA???????????????? push??? ebx
.text:10001CFB???????????????? push??? edi
.text:10001CFC???????????????? call??? dword_1000A168 ; kernel32!VirtualProtec
把那兩個push 4改成push 0x20就可以讓TM 2009正常在Sandboxie中運行了。
需要注意,TM 2009運行后會檢查TSSafeEdit.dat是否被修改,如果被修改則會試圖獲取原始文件恢復之。要避免被恢復可以借助Sandboxie的相關機制來進行限制,如禁止SelfUpdate.exe進程運行等。
細心的朋友可能還會有疑問:改成push 0x20不是就等于沒改內存屬性PAGE_EXECUTE_READ(0x20)么,那么這部分內存仍然是不可寫的,后面恢復Inline Hook時不會出異常么?答案是不會。
因為TSSafeEdit.dat恢復Inline Hook時寫內存用的是WriteProcessMemory()而不是memcpy()之類直接內存訪問的方式。對WriteProcessMemory()這種血腥暴力的API來說,只讀內存屬性是不影響寫入的。換句話說,TSSafeEdit.dat中那兩個
VirtualProtec()調用其實是不必要的,全改成nop也一樣能正常工作。
某IM軟件B和某IM軟件A的情況相同。
|