Использование песочницы Google Chrome [закрыто]

Итак, вот что я нашел о песочнице code with Chrome.

Во-первых, вам нужно будет пойти получить исходный код chromium. Это большой , и займет некоторое время, чтобы получить, но я еще не нашел никаких надежных ярлыков для проверки, которые все еще дают полезные результаты. Алос, очень важно, чтобы ты очень внимательно следовал инструкциям на этой странице. Команда Google знает, что делает, и не стремится к бесполезным шагам. Все, что есть на этой странице, необходимо. Да. Всё.

Теперь, как только вы получите исходный код, вам не нужно будет создавать chrome целиком (что может занять несколько часов!) использовать песочницу. Вместо этого они были достаточно милы, чтобы дать вам отдельное решение для песочницы (найденное в папке песочницы), которое можно построить автономно. Создайте этот проект и убедитесь, что все компилируется. Если это так, отлично! Если это не так, вы не выполнили шаги на странице сборки, не так ли? Повесьте голову от стыда и на этот раз сделайте это по-настоящему. Не беспокойся, Я подожду...

Теперь, когда все построено, ваш главный интерес - это проект sandbox_poc ("poc" = доказательство концепции). Этот проект в основном представляет собой минимальную оболочку GUI вокруг песочницы, которая запустит произвольную библиотеку dll в заданной точке входа в изолированной среде. Он показывает все необходимые шаги для создания и использования песочницы, а также является лучшим справочником, который у вас есть. Обращайтесь к нему почаще!

Когда вы просматриваете код, вы, вероятно, заметите, что код это на самом деле песочницы-это само собой. Это очень распространено во всех примерах песочницы, и согласно этому потоку (который может быть устаревшим), возможно, является единственным работающим способом песочницы на данный момент. Поток описывает, как теоретически можно изолировать отдельный процесс, но я не пробовал его. Однако, чтобы быть в безопасности, наличие самозванного приложения - это "известный хороший" метод.

Sandbox_proc включает в себя большое количество статических библиотек, но они, по-видимому, в основном предназначены для примера пользовательского интерфейса, который они имеют. построенный. Единственные, которые я нашел, которые, кажется, необходимы для минимальной песочницы:

sandbox.lib base.lib dbghelp.lib

Есть еще одна зависимость, которая не совсем очевидна при взгляде на проект, и это то, на чем я задержался дольше всего. При создании песочницы один из выходных файлов должен быть "wowhelper.exe". Хотя он нигде не упоминается, этот файл должен быть скопирован в тот же каталог, что и исполняемый файл, который вы используете в песочнице! Если это не так, ваши попытки изолировать ваш код будут всегда происходит сбой с общей ошибкой "файл не найден". Это может быть очень неприятно, если вы не знаете, что происходит! Теперь я разрабатываю Windows 7 64bit, что может иметь какое-то отношение к требованию wowhelper (WOW-это распространенная аббревиатура для приложений взаимодействия между 16/32/64bit), но у меня нет хорошего способа проверить это прямо сейчас. Пожалуйста, дайте мне знать, если кто-нибудь еще узнает больше!

Итак, это все, что касается окружающей среды, вот немного кода smaple, чтобы вы начали! Обратите внимание, что хотя я использую wcout в дочернем процессе здесь, вы не можете увидеть вывод консоли при запуске в песочнице. Что-то подобное должно быть доведено до сведения родительского процесса через МПК.

#include <sandbox/src/sandbox.h>
#include <sandbox/src/sandbox_factory.h>
#include <iostream>

using namespace std;

int RunParent(int argc, wchar_t* argv[], sandbox::BrokerServices* broker_service) {
    if (0 != broker_service->Init()) {
        wcout << L"Failed to initialize the BrokerServices object" << endl;
        return 1;
    }

    PROCESS_INFORMATION pi;

    sandbox::TargetPolicy* policy = broker_service->CreatePolicy();

    // Here's where you set the security level of the sandbox. Doing a "goto definition" on any
    // of these symbols usually gives you a good description of their usage and alternatives.
    policy->SetJobLevel(sandbox::JOB_LOCKDOWN, 0);
    policy->SetTokenLevel(sandbox::USER_RESTRICTED_SAME_ACCESS, sandbox::USER_LOCKDOWN);
    policy->SetAlternateDesktop(true);
    policy->SetDelayedIntegrityLevel(sandbox::INTEGRITY_LEVEL_LOW);

    //Add additional rules here (ie: file access exceptions) like so:
    policy->AddRule(sandbox::TargetPolicy::SUBSYS_FILES, sandbox::TargetPolicy::FILES_ALLOW_ANY, "some/file/path");

    sandbox::ResultCode result = broker_service->SpawnTarget(argv[0], GetCommandLineW(), policy, &pi);

    policy->Release();
    policy = NULL;

    if (sandbox::SBOX_ALL_OK != result) {
        wcout << L"Sandbox failed to launch with the following result: " << result << endl;
        return 2;
    }

    // Just like CreateProcess, you need to close these yourself unless you need to reference them later
    CloseHandle(pi.hThread);
    CloseHandle(pi.hProcess);

    broker_service->WaitForAllTargets();

    return 0;
}

int RunChild(int argc, wchar_t* argv[]) {
    sandbox::TargetServices* target_service = sandbox::SandboxFactory::GetTargetServices();

    if (NULL == target_service) {
        wcout << L"Failed to retrieve target service" << endl;
        return 1;
    }

    if (sandbox::SBOX_ALL_OK != target_service->Init()) {
        wcout << L"failed to initialize target service" << endl;
        return 2;
    }

    // Do any "unsafe" initialization code here, sandbox isn't active yet

    target_service->LowerToken(); // This locks down the sandbox

    // Any code executed at this point is now sandboxed!

    TryDoingSomethingBad();

    return 0;
}

int wmain(int argc, wchar_t* argv[]) {
    sandbox::BrokerServices* broker_service = sandbox::SandboxFactory::GetBrokerServices();

    // A non-NULL broker_service means that we are not running the the sandbox, 
    // and are therefore the parent process
    if(NULL != broker_service) {
        return RunParent(argc, argv, broker_service);
    } else {
        return RunChild(argc, argv);
    }
}

Надеюсь, что этого достаточно, чтобы получить любые другие любопытные кодеры песочницы! Удачи вам!