这是一个创建于 984 天前的主题,其中的信息可能已经有所发展或是发生改变。
视频:
幻灯片: https://github.com/dwizzzle/Presentations/blob/master/David%20Weston%20-%20Windows%2011%20Security%20by-default%20-%20Bluehat%20IL%202023.pdf出自 BlueHat IL 安全大会。
基本不需要改程序的代码,既可以把 Win32 应用容器化。你可以限制应用的文件读取权限。应用对注册表的修改也是虚拟化的,不会影响真机。
在 20 分钟展示了容器化的 Notepad++,没改一行代码。打开方式和拖拽功能都正常工作。如果你想取消它的文件读取权限,只要在设置里点一个按钮。
如果用户可以主动容器化应用的话,也许对国产毒瘤会很用?(虚拟机还是重了点)
具体将在 Build 2023 上公布,并且相关工具将在 GitHub 上开源。
另外 Windows 内核已经开始用 Rust 了,比如 DirectWrite 和 GDI 。内存安全和性能大大的好。Rust 代码可以通过 COM 直接调用。
 | 1 fy 2023-04-20 22:41:33 +08:00  1 COM 技术:没想到吧,爷还在 |
 | 2 flyqie 2023-04-20 22:43:13 +08:00 2 巨硬,你滴,早早开源滴,我滴,star ,大大滴有。 |
 | 3 dandycheung 2023-04-20 22:43:22 +08:00 via Android 这个不错。 |
 | 4 Salticey 2023-04-20 22:44:45 +08:00 via Android 可以放心用微信了? |
 | 5 codehz 2023-04-20 22:49:29 +08:00 via iPhone 2 咱之前也研究过 winsilo 的隔离方案(它一开始被用作 windows 容器),当时几乎没法运行任何图形界面应用(毕竟本来也不行),虽然没有实现任何功能(是一个失败的实验),但是可以窥探一波 silo 的隔离机制( https://github.com/codehz/winsilo |
 | 6 giaodadi 2023-04-20 23:50:31 +08:00 期待实装 |
 | 7 selca 2023-04-20 23:53:20 +08:00 1 期待,沙盒化对于各种不信任的软件来说是趋势。 微软加油,不要留下太多逃出沙盒的漏洞 |
 | 8 ysc3839 2023-04-21 00:03:14 +08:00 via Android @fy COM 一直都在,Windows Runtime 就是基于 COM 的,可以看作是 COM 的升级版 |
 | 9 bytesfold 2023-04-21 00:10:55 +08:00 via iPhone 这才是大家想要的 |
 | 10 7RTDKSAK 2023-04-21 00:23:21 +08:00 13 毒瘤:检测到运行环境异常,已退出... |
 | 11 cskeleton 2023-04-21 01:24:02 +08:00 1 想多了,毒瘤上来先给你装个驱动 |
 | 12 jsq2627 2023-04-21 01:33:07 +08:00 我印象里自从推 msix 起就在搞 win32 应用隔离了。 目前最大的问题在于不是全系统强制性的,还是没法制止毒瘤。。 |
 | 13 huajingyu 2023-04-21 01:34:17 +08:00 不知道能不能指定应用程序只允许或不允许访问某些文件夹和文件…… |
 | 14 mzliangjianjun 2023-04-21 01:58:10 +08:00 via Android Windows 历史包袱太大了,手机端都开始去 32 位了 |
 | 15 Shilion 2023-04-21 05:20:57 +08:00 MSIX 确实好,商店里曾经还有 MSIX 打包的 QQ ,现在也没了 |
 | 16 kokutou 2023-04-21 08:03:05 +08:00 via Android qq 自带驱动多少年了。。。 阿里自带一个没法卸载的 alibabaprotect 。。。 微信。。。appdata 里狂塞东西,自带一个浏览器。。。 |
 | 18 jackmod 2023-04-21 09:13:13 +08:00 mhyprot2.Sys 第一个表示反对 |
| 19 codehz 2023-04-21 11:05:35 +08:00 via iPhone @mzliangjianjun 虽然但是,win32 和 32 位没有关系 |
 | 20 PrinceofInj 2023-04-21 11:27:34 +08:00 @Salticey 信不信微信会装模作样运行起来,过几天直接给你封号,说检测到环境异常。 |
 | 21 iorilu 2023-04-21 11:57:09 +08:00 @PrinceofInj 肯定的, 国产软件一旦监测到用容器隔离, 必然会停止工作 |
 | 22 coolcoffee 2023-04-21 16:35:07 +08:00 |
 | 23 mmdsun 2023-04-21 19:52:52 +08:00 via iPhone @mzliangjianjun win32 应用程序是编程语言直接用 windows api 通常 C/C++编写的程序,和 32 位其实没关系。 别说扔 32 位了,win 上现在还能跑 16 位软件,自己把坏境安装了就行。 |
| 24 mmdsun 2023-04-21 20:17:24 +08:00 via iPhone @shakeyo @PrinceofInj @iorilu @kokutou 现在 Win11 就用到虚拟化了,可以说整个系统就仿佛跑在“虚拟机”上了,VBS(Virtualization-Based Security)Win11 是默认强制开启的。 应用软件它厉害还不是调的系统 API 、systemCall ,微软完全有能力屏蔽应用程序检测,或者返回假 /空数据等。只是看微软想不想这么做了。QQ 加载 r0 驱动 360 都能压得住 QQ ,更别提微软自己了。 |
 | 25 zhangkc 2023-04-21 21:11:39 +08:00 via iPhone mac 系统的好这时候就体现出来了,才 2 年,基本上软件都支持 Apple arm 的 cpu 了 |
 | 26 slack 2023-04-21 23:51:45 +08:00 好东西唉,可以替代 sandbox 了 |
 | 28 ikas 2023-04-28 23:44:26 +08:00 @coolcoffee 是微软开放了 uwp 调用 win32 权限..提交审核的时候,随便写个理由就能通过... |
Select Language