[求助]需求写一个沙盒，想用minifilter实现，有有经验的大佬分享点经验吗-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (6)
hzqst 雪币： 12848 活跃值： (9108) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 563 关注私信	hzqst 3 2 楼 1、内核对象隔离你打算怎么搞？沙盒里的进程按理说不应该允许访问沙盒外的内核对象（如event section semaphore mutex port namedpipe等） 2、沙盒内进程OpenProcess打开沙盒外的进程返回失败吗？x64下你可能得考虑过pg了 3、ring3直接读写磁盘你打算怎么过滤？ 4、沙盒内进程也能加载驱动吗？ 5、沙盒内进程可以获取管理员权限吗？如果不给管理员权限的话很多带小盾牌的程序可是跑不起来的结果搞到最后楼主发现还是搞个虚拟机最省事 2017-10-12 13:24 0
fior 雪币： 203 活跃值： (30) 能力值： ( LV3，RANK：20 ) 在线值：发帖 23 回帖 43 粉丝 0 关注私信	fior 3 楼 hzqst 1、内核对象隔离你打算怎么搞？沙盒里的进程按理说不应该允许访问沙盒外的内核对象（如event  section  semaphore  mutex ... 暂时需求只要能保护文件和注册表不被沙盒内的修改破坏就行了。考虑到后续我还是再去确认一下吧。之前没接触过沙盒，百度一下还以为只要考虑下重定向就行了呢。直接读写磁盘过滤暂时也先不考虑了吧。谢谢大佬。我再去问问经理那边到底要做到什么程度 2017-10-12 14:09 0
叁毛雪币： 17 活跃值： (308) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 213 粉丝 2 关注私信	叁毛 1 4 楼你可以反汇编下VMware的app volumes产品非常牛逼的一个玩意 2017-10-14 01:14 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 5 楼 hzqst 1、内核对象隔离你打算怎么搞？沙盒里的进程按理说不应该允许访问沙盒外的内核对象（如event  section  semaphore  mutex ... 你说这个是要学微软标杆hvix64 第二套ntoskrnl从初始化到背锅 2017-10-14 14:51 0
冰栈雪币： 307 活跃值： (60) 能力值： ( LV3，RANK：20 ) 在线值：发帖 31 回帖 153 粉丝 2 关注私信	冰栈 6 楼问一下，minifilter的文件备份是不是就是在内核reafFile和writeFile呀！我想做的就是在内核监控进程对文件是否有操作，如果有的话，就在操作前将文件备份一下？能给一下思路么 2018-4-6 15:54 0
沉醉星渊雪币： 16 活跃值： (527) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 112 粉丝 0 关注私信	沉醉星渊 7 楼搞这个好像没什么难的吧，处理一下create做重定向，哪些操作需要重解析，哪些需要读原来的文件，setinfo处理一下重命名和删除，在做一个目录查询合并，然后希望用户体验好的，在搞一个目录修改通知，注册表没动过，不了解 2018-4-25 15:11 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (6)
hzqst 雪币： 12848 活跃值： (9108) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 563 关注私信	hzqst 3 2 楼 1、内核对象隔离你打算怎么搞？沙盒里的进程按理说不应该允许访问沙盒外的内核对象（如event section semaphore mutex port namedpipe等） 2、沙盒内进程OpenProcess打开沙盒外的进程返回失败吗？x64下你可能得考虑过pg了 3、ring3直接读写磁盘你打算怎么过滤？ 4、沙盒内进程也能加载驱动吗？ 5、沙盒内进程可以获取管理员权限吗？如果不给管理员权限的话很多带小盾牌的程序可是跑不起来的结果搞到最后楼主发现还是搞个虚拟机最省事 2017-10-12 13:24 0
fior 雪币： 203 活跃值： (30) 能力值： ( LV3，RANK：20 ) 在线值：发帖 23 回帖 43 粉丝 0 关注私信	fior 3 楼 hzqst 1、内核对象隔离你打算怎么搞？沙盒里的进程按理说不应该允许访问沙盒外的内核对象（如event  section  semaphore  mutex ... 暂时需求只要能保护文件和注册表不被沙盒内的修改破坏就行了。考虑到后续我还是再去确认一下吧。之前没接触过沙盒，百度一下还以为只要考虑下重定向就行了呢。直接读写磁盘过滤暂时也先不考虑了吧。谢谢大佬。我再去问问经理那边到底要做到什么程度 2017-10-12 14:09 0
叁毛雪币： 17 活跃值： (308) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 213 粉丝 2 关注私信	叁毛 1 4 楼你可以反汇编下VMware的app volumes产品非常牛逼的一个玩意 2017-10-14 01:14 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 5 楼 hzqst 1、内核对象隔离你打算怎么搞？沙盒里的进程按理说不应该允许访问沙盒外的内核对象（如event  section  semaphore  mutex ... 你说这个是要学微软标杆hvix64 第二套ntoskrnl从初始化到背锅 2017-10-14 14:51 0
冰栈雪币： 307 活跃值： (60) 能力值： ( LV3，RANK：20 ) 在线值：发帖 31 回帖 153 粉丝 2 关注私信	冰栈 6 楼问一下，minifilter的文件备份是不是就是在内核reafFile和writeFile呀！我想做的就是在内核监控进程对文件是否有操作，如果有的话，就在操作前将文件备份一下？能给一下思路么 2018-4-6 15:54 0
沉醉星渊雪币： 16 活跃值： (527) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 112 粉丝 0 关注私信	沉醉星渊 7 楼搞这个好像没什么难的吧，处理一下create做重定向，哪些操作需要重解析，哪些需要读原来的文件，setinfo处理一下重命名和删除，在做一个目录查询合并，然后希望用户体验好的，在搞一个目录修改通知，注册表没动过，不了解 2018-4-25 15:11 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复