V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
DTCPSS
V2EX  ›  Windows

微软展示轻量化 Win32 应用隔离方案

  •  5
     
  •   DTCPSS · 2023-04-20 22:29:36 +08:00 · 5751 次点击
    这是一个创建于 614 天前的主题,其中的信息可能已经有所发展或是发生改变。
    视频:
    幻灯片: https://github.com/dwizzzle/Presentations/blob/master/David%20Weston%20-%20Windows%2011%20Security%20by-default%20-%20Bluehat%20IL%202023.pdf

    出自 BlueHat IL 安全大会。
    基本不需要改程序的代码,既可以把 Win32 应用容器化。你可以限制应用的文件读取权限。应用对注册表的修改也是虚拟化的,不会影响真机。
    在 20 分钟展示了容器化的 Notepad++,没改一行代码。打开方式和拖拽功能都正常工作。如果你想取消它的文件读取权限,只要在设置里点一个按钮。
    如果用户可以主动容器化应用的话,也许对国产毒瘤会很用?(虚拟机还是重了点)
    具体将在 Build 2023 上公布,并且相关工具将在 GitHub 上开源。

    另外 Windows 内核已经开始用 Rust 了,比如 DirectWrite 和 GDI 。内存安全和性能大大的好。Rust 代码可以通过 COM 直接调用。
    28 条回复    2023-04-28 23:44:26 +08:00
    fy
        1
    fy  
       2023-04-20 22:41:33 +08:00   ❤️ 1
    COM 技术:没想到吧,爷还在
    flyqie
        2
    flyqie  
       2023-04-20 22:43:13 +08:00   ❤️ 2
    巨硬,你滴,早早开源滴,我滴,star ,大大滴有。
    dandycheung
        3
    dandycheung  
       2023-04-20 22:43:22 +08:00 via Android
    这个不错。
    Salticey
        4
    Salticey  
       2023-04-20 22:44:45 +08:00 via Android
    可以放心用微信了?
    codehz
        5
    codehz  
       2023-04-20 22:49:29 +08:00 via iPhone   ❤️ 2
    咱之前也研究过 winsilo 的隔离方案(它一开始被用作 windows 容器),当时几乎没法运行任何图形界面应用(毕竟本来也不行),虽然没有实现任何功能(是一个失败的实验),但是可以窥探一波 silo 的隔离机制(
    https://github.com/codehz/winsilo
    giaodadi
        6
    giaodadi  
       2023-04-20 23:50:31 +08:00
    期待实装
    selca
        7
    selca  
       2023-04-20 23:53:20 +08:00   ❤️ 1
    期待,沙盒化对于各种不信任的软件来说是趋势。

    微软加油,不要留下太多逃出沙盒的漏洞
    ysc3839
        8
    ysc3839  
       2023-04-21 00:03:14 +08:00 via Android
    @fy COM 一直都在,Windows Runtime 就是基于 COM 的,可以看作是 COM 的升级版
    bytesfold
        9
    bytesfold  
       2023-04-21 00:10:55 +08:00 via iPhone
    这才是大家想要的
    7RTDKSAK
        10
    7RTDKSAK  
       2023-04-21 00:23:21 +08:00   ❤️ 13
    毒瘤:检测到运行环境异常,已退出...
    cskeleton
        11
    cskeleton  
       2023-04-21 01:24:02 +08:00   ❤️ 1
    想多了,毒瘤上来先给你装个驱动
    jsq2627
        12
    jsq2627  
       2023-04-21 01:33:07 +08:00
    我印象里自从推 msix 起就在搞 win32 应用隔离了。
    目前最大的问题在于不是全系统强制性的,还是没法制止毒瘤。。
    huajingyu
        13
    huajingyu  
       2023-04-21 01:34:17 +08:00
    不知道能不能指定应用程序只允许或不允许访问某些文件夹和文件……
    mzliangjianjun
        14
    mzliangjianjun  
       2023-04-21 01:58:10 +08:00 via Android
    Windows 历史包袱太大了,手机端都开始去 32 位了
    Shilion
        15
    Shilion  
       2023-04-21 05:20:57 +08:00
    MSIX 确实好,商店里曾经还有 MSIX 打包的 QQ ,现在也没了
    kokutou
        16
    kokutou  
       2023-04-21 08:03:05 +08:00 via Android
    qq 自带驱动多少年了。。。
    阿里自带一个没法卸载的 alibabaprotect 。。。
    微信。。。appdata 里狂塞东西,自带一个浏览器。。。
    shakeyo
        17
    shakeyo  
       2023-04-21 08:49:07 +08:00
    @Salticey 那你大可放心,微信肯定会检测并拒绝运行的
    jackmod
        18
    jackmod  
       2023-04-21 09:13:13 +08:00
    mhyprot2.Sys 第一个表示反对🐶
    codehz
        19
    codehz  
       2023-04-21 11:05:35 +08:00 via iPhone
    @mzliangjianjun 虽然但是,win32 和 32 位没有关系
    PrinceofInj
        20
    PrinceofInj  
       2023-04-21 11:27:34 +08:00
    @Salticey 信不信微信会装模作样运行起来,过几天直接给你封号,说检测到环境异常。
    iorilu
        21
    iorilu  
       2023-04-21 11:57:09 +08:00
    @PrinceofInj 肯定的, 国产软件一旦监测到你用容器隔离, 必然会停止工作
    coolcoffee
        22
    coolcoffee  
       2023-04-21 16:35:07 +08:00
    我记得 WindowsURP 应用主打的就是沙盒化吧,但是爱奇艺 UWP 版还是找到漏洞逃逸常驻,给国产技术点赞👍

    https://www.zhihu.com/question/266361716
    mmdsun
        23
    mmdsun  
       2023-04-21 19:52:52 +08:00 via iPhone
    @mzliangjianjun win32 应用程序是编程语言直接用 windows api 通常 C/C++编写的程序,和 32 位其实没关系。

    别说扔 32 位了,win 上现在还能跑 16 位软件,自己把坏境安装了就行。
    mmdsun
        24
    mmdsun  
       2023-04-21 20:17:24 +08:00 via iPhone
    @shakeyo
    @PrinceofInj
    @iorilu
    @kokutou

    现在 Win11 就用到虚拟化了,可以说整个系统就仿佛跑在“虚拟机”上了,VBS(Virtualization-Based Security)Win11 是默认强制开启的。

    应用软件它厉害还不是调的系统 API 、systemCall ,微软完全有能力屏蔽应用程序检测,或者返回假 /空数据等。只是看微软想不想这么做了。QQ 加载 r0 驱动 360 都能压得住 QQ ,更别提微软自己了。
    zhangkc
        25
    zhangkc  
       2023-04-21 21:11:39 +08:00 via iPhone
    mac 系统的好这时候就体现出来了,才 2 年,基本上软件都支持 Apple arm 的 cpu 了
    slack
        26
    slack  
       2023-04-21 23:51:45 +08:00
    好东西唉,可以替代 sandbox 了
    cc666
        27
    cc666  
       2023-04-22 15:58:07 +08:00
    @jackmod 太真实了,开了内核模式硬件强制堆栈保护后,mhyprot 百分百把电脑干蓝屏
    ikas
        28
    ikas  
       2023-04-28 23:44:26 +08:00
    @coolcoffee 是微软开放了 uwp 调用 win32 权限..提交审核的时候,随便写个理由就能通过...
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5793 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 42ms · UTC 06:11 · PVG 14:11 · LAX 22:11 · JFK 01:11
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.