V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
DTCPSS
V2EX  ›  Windows

微软展示轻量化 Win32 应用隔离方案

  •  5
     
  •   DTCPSS · 343 天前 · 5275 次点击
    这是一个创建于 343 天前的主题,其中的信息可能已经有所发展或是发生改变。
    视频:
    幻灯片: https://github.com/dwizzzle/Presentations/blob/master/David%20Weston%20-%20Windows%2011%20Security%20by-default%20-%20Bluehat%20IL%202023.pdf

    出自 BlueHat IL 安全大会。
    基本不需要改程序的代码,既可以把 Win32 应用容器化。你可以限制应用的文件读取权限。应用对注册表的修改也是虚拟化的,不会影响真机。
    在 20 分钟展示了容器化的 Notepad++,没改一行代码。打开方式和拖拽功能都正常工作。如果你想取消它的文件读取权限,只要在设置里点一个按钮。
    如果用户可以主动容器化应用的话,也许对国产毒瘤会很用?(虚拟机还是重了点)
    具体将在 Build 2023 上公布,并且相关工具将在 GitHub 上开源。

    另外 Windows 内核已经开始用 Rust 了,比如 DirectWrite 和 GDI 。内存安全和性能大大的好。Rust 代码可以通过 COM 直接调用。
    28 条回复    2023-04-28 23:44:26 +08:00
    fy
        1
    fy  
       343 天前   ❤️ 1
    COM 技术:没想到吧,爷还在
    flyqie
        2
    flyqie  
       343 天前   ❤️ 2
    巨硬,你滴,早早开源滴,我滴,star ,大大滴有。
    dandycheung
        3
    dandycheung  
       343 天前 via Android
    这个不错。
    Salticey
        4
    Salticey  
       343 天前 via Android
    可以放心用微信了?
    codehz
        5
    codehz  
       343 天前 via iPhone   ❤️ 2
    咱之前也研究过 winsilo 的隔离方案(它一开始被用作 windows 容器),当时几乎没法运行任何图形界面应用(毕竟本来也不行),虽然没有实现任何功能(是一个失败的实验),但是可以窥探一波 silo 的隔离机制(
    https://github.com/codehz/winsilo
    giaodadi
        6
    giaodadi  
       343 天前
    期待实装
    selca
        7
    selca  
       343 天前   ❤️ 1
    期待,沙盒化对于各种不信任的软件来说是趋势。

    微软加油,不要留下太多逃出沙盒的漏洞
    ysc3839
        8
    ysc3839  
       343 天前 via Android
    @fy COM 一直都在,Windows Runtime 就是基于 COM 的,可以看作是 COM 的升级版
    bytesfold
        9
    bytesfold  
       343 天前 via iPhone
    这才是大家想要的
    7RTDKSAK
        10
    7RTDKSAK  
       343 天前   ❤️ 13
    毒瘤:检测到运行环境异常,已退出...
    cskeleton
        11
    cskeleton  
       343 天前   ❤️ 1
    想多了,毒瘤上来先给你装个驱动
    jsq2627
        12
    jsq2627  
       343 天前
    我印象里自从推 msix 起就在搞 win32 应用隔离了。
    目前最大的问题在于不是全系统强制性的,还是没法制止毒瘤。。
    huajingyu
        13
    huajingyu  
       343 天前
    不知道能不能指定应用程序只允许或不允许访问某些文件夹和文件……
    mzliangjianjun
        14
    mzliangjianjun  
       343 天前 via Android
    Windows 历史包袱太大了,手机端都开始去 32 位了
    Shilion
        15
    Shilion  
       342 天前
    MSIX 确实好,商店里曾经还有 MSIX 打包的 QQ ,现在也没了
    kokutou
        16
    kokutou  
       342 天前 via Android
    qq 自带驱动多少年了。。。
    阿里自带一个没法卸载的 alibabaprotect 。。。
    微信。。。appdata 里狂塞东西,自带一个浏览器。。。
    shakeyo
        17
    shakeyo  
       342 天前
    @Salticey 那你大可放心,微信肯定会检测并拒绝运行的
    jackmod
        18
    jackmod  
       342 天前
    mhyprot2.Sys 第一个表示反对🐶
    codehz
        19
    codehz  
       342 天前 via iPhone
    @mzliangjianjun 虽然但是,win32 和 32 位没有关系
    PrinceofInj
        20
    PrinceofInj  
       342 天前
    @Salticey 信不信微信会装模作样运行起来,过几天直接给你封号,说检测到环境异常。
    iorilu
        21
    iorilu  
       342 天前
    @PrinceofInj 肯定的, 国产软件一旦监测到你用容器隔离, 必然会停止工作
    coolcoffee
        22
    coolcoffee  
       342 天前
    我记得 WindowsURP 应用主打的就是沙盒化吧,但是爱奇艺 UWP 版还是找到漏洞逃逸常驻,给国产技术点赞👍

    https://www.zhihu.com/question/266361716
    mmdsun
        23
    mmdsun  
       342 天前 via iPhone
    @mzliangjianjun win32 应用程序是编程语言直接用 windows api 通常 C/C++编写的程序,和 32 位其实没关系。

    别说扔 32 位了,win 上现在还能跑 16 位软件,自己把坏境安装了就行。
    mmdsun
        24
    mmdsun  
       342 天前 via iPhone
    @shakeyo
    @PrinceofInj
    @iorilu
    @kokutou

    现在 Win11 就用到虚拟化了,可以说整个系统就仿佛跑在“虚拟机”上了,VBS(Virtualization-Based Security)Win11 是默认强制开启的。

    应用软件它厉害还不是调的系统 API 、systemCall ,微软完全有能力屏蔽应用程序检测,或者返回假 /空数据等。只是看微软想不想这么做了。QQ 加载 r0 驱动 360 都能压得住 QQ ,更别提微软自己了。
    zhangkc
        25
    zhangkc  
       342 天前 via iPhone
    mac 系统的好这时候就体现出来了,才 2 年,基本上软件都支持 Apple arm 的 cpu 了
    slack
        26
    slack  
       342 天前
    好东西唉,可以替代 sandbox 了
    cc666
        27
    cc666  
       341 天前
    @jackmod 太真实了,开了内核模式硬件强制堆栈保护后,mhyprot 百分百把电脑干蓝屏
    ikas
        28
    ikas  
       335 天前
    @coolcoffee 是微软开放了 uwp 调用 win32 权限..提交审核的时候,随便写个理由就能通过...
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   1104 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 18:50 · PVG 02:50 · LAX 11:50 · JFK 14:50
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.