圖5
看看CreateAppContainerProcessW的邏輯片段����,把傳入的CapabilitySIDs和PackageSID加入到ProcThreadAttributes,然后通過(guò)STARTUPINFOEX結(jié)構(gòu)把ProcThreadAttributes傳給了CreateProcessW。
圖6
圖7
圖8
搞清楚IE Tab進(jìn)程的創(chuàng)建邏輯���,我們就可以創(chuàng)建自己的AppContainer進(jìn)程了��。
直接復(fù)用IE的PackageSID和CapabilitySIDs來(lái)創(chuàng)建AppContainer進(jìn)程�。如果需要定義自己的PackageSID��,可以參考MSDN上的CreateAppContainerProfile等API���,這里就不討論了�����。
成功的創(chuàng)建出了具有AppContainer隔離機(jī)制的記事本進(jìn)程���。32位和64位進(jìn)程都可以����?梢宰杂山M合Capability,這里我選擇了IE Tab6個(gè)Capability里的3個(gè)���。
圖9
圖10
如果程序在設(shè)計(jì)時(shí)沒(méi)有考慮使用AppContainer隔離機(jī)制��,依賴沒(méi)有授權(quán)給AppContainer的系統(tǒng)資源���,比如系統(tǒng)根目錄�,用戶根目錄等�,使用AppContainer隔離機(jī)制啟動(dòng)程序會(huì)失敗。
AppContainer的訪問(wèn)權(quán)限控制
為描述方便��,AppContainer進(jìn)程的AccessToken我們簡(jiǎn)稱為L(zhǎng)owBoxToken(下同)��。
下面是一個(gè)LowBoxToken的部分信息����,可以看到TokenFlags的掩碼位0×4000是置位的,這表示該Token是一個(gè)LowBoxToken�。我們還可以看到PackageSid、Capabilities等信息(圖2里標(biāo)志為AppContainer和Capability的SID)����。
圖11
DACL
DACL的遍歷是在SepNormalAccessCheck/SepMaximumAccessCheck里進(jìn)行的����。這里我們以SepNormalAccessCheck為例,來(lái)看一看如何處理AppContianer相關(guān)的ACE���。
一般來(lái)說(shuō)��,在遍歷DACL時(shí)�,如果滿足以下3個(gè)條件中的任意一個(gè),檢查停止�����。
1.有一個(gè)access-denied ACE明確拒絕了請(qǐng)求訪問(wèn)權(quán)限中的任意一個(gè)�����;
2.有一個(gè)或者多個(gè)access-allowed ACEs明確給予了所有的請(qǐng)求訪問(wèn)權(quán)限�����;
