Win8開始�,Windows引入了新的進程隔離機制AppContainer,MetroAPP以及開啟EPM的IE Tab進程都運行在AppContainer隔離環(huán)境�����,在最新的Win10Pre(9926)上,仍然如此����。騰訊反病毒實驗室對AppContainer的工作機制做一深入解讀。
AppContainer帶來的變化
Vista以前的系統(tǒng)���,如XP���,用安全描述符(簡稱SD,下同)里的DACL(discretionaryaccess control list)來控制用戶和用戶組的訪問權(quán)限�。
Vista以后,增加了IntegrityMechanism����,在SD的SACL(system access control list)里增加一個mandatory label的ACE,擴展了Windows安全體系����。默認(rèn)的控制策略是No-Write-Up,允許較低完整性級別的進程讀訪問較高完整性級別的對象��;禁止較低完整性級別的進程寫訪問較高完整性級別的對象�。
Win8引入了AppContainer隔離機制,提供了更細粒度的權(quán)限控制���,能夠阻止對未授權(quán)對象的讀寫訪問�����。
以Win10PreX64(9926)開啟EPM的IE Tab進程為例�,看看有哪些變化。
從ProcessExplorer里可以看到�����,IE Tab進程的完整性級別不再是Low����,而是變成了AppContainer:
圖1
在進程屬性的Security標(biāo)簽可以看到,增加了標(biāo)志為AppContainer以及Capability的SID:
圖2
一個AppContainer進程可以訪問的對象����,在SD的DACL里增加了額外的ACE���。以IE Tab進程的進程對象為例:
圖3
如何使用AppContainer隔離機制
這里我們不討論MetroAPP��,主要看看DesktopAPP如何使用AppContainer隔離機制���。
仍然以Win10PreX64(9926)開啟EPM的IE Tab進程為例:在IE選項里開啟EPM,下斷點nt!NtCreateLowBoxToken��,然后新建IE Tab�,命中斷點��,截取最上面的幾層調(diào)用棧:
圖4
可見���,通過CreateProcess這個API就可以創(chuàng)建出AppContainer進程�。
看看CreateAppContainerProcessStrW的邏輯片段�����,把PackageSIDString(圖2里標(biāo)記為AppContainer的SID)和CapabilitySID(圖2里標(biāo)記為Capability的SID) string轉(zhuǎn)為SID后�����,傳給了CreateAppContainerProcessW:
