【技术·水】浅谈Metro App的沙盒AppContainer

Mouri_Naruto

Tip：估计看完这篇文章的巨神们可能会认为这个帖子有些微不足道，既然这样，就当我来水经验好了

笔者好久没有写新的技术贴了（因为一直在取材）；最近我在研究Metro App的沙盒AppContainer也探索出了一些成果，特地分享一下

吐槽：无论是Baidu还是Google；关于AppContainer可以参考的第三方资料太少了；搜索结果里充斥着《腾讯反病毒实验室：深度解析AppContainer工作机制》这类看似高大上实际却很水没有一点用的文章；真正有用的文章有但很少；我想把这些已有的不多的资料整理并加工；这就是我写这篇文章的原因

AppContainer 是 Windows 8 新增的一个基于系统权限的沙盒；防御力度十分给力（可以控制文件，注册表和网络的访问）；但是鱼和熊掌不能兼得；防御足够给力也会带来不少问题（比如Metro App就是在AppContainer下运行的；权限十分少；导致很多开发者没办法开发大部分类型的Metro App于是对Metro App开发产生了厌恶之情（比如我的引路人，他曾经也是Metro App的狂热开发者；但是可用的权限太低；他变成了Metro App黑）；Win10一堆Brokers和Hosts也是拜此所赐（在AppContainer下的Metro App；很多高权限操作都无法完成；为了一定在Metro App下实现；微软采用了Socket与Brokers和Hosts通信完成高权限操作））。但是对用户而言；AppContainer是不可多得的福利；至少不用看到国产软件的流氓行径（比如我就是：上了8.1后；由于Sandboxie对8.1 x64支持不佳；所以我只敢在虚拟机里用QQ（QQ向系统目录写的垃圾文件已经多到无法直视））。接下来，我将会介绍我所知道的AppContainer的各个方面

PS：也许有人看过我用Metro App静默读取其他位置的文件成功的截图；但是我可是动了手脚的（正常情况下是做不到的，笑）

一.如何在AppContainer运行Win32 App

AppContainer下可以运行Win32 App？笔者你在逗我吧，不是只能运行Metro App的吧？很抱歉，AppContainer的确可以运行Win32 App；IE 10以后的64位增强保护模式和Office 2013的阅读模式就是很好的例子


要在AppContainer下运行Win32 App；正经的做法是

1.获取你所需要的Capabilities SIDs和AppContainer SID
2.把Capabilities SIDs做成SID_AND_ATTRIBUTES结构数组
3.把SID_AND_ATTRIBUTES结构数组与AppContainer SID传入SECURITY_CAPABILITIES结构
4.调用InitializeProcThreadAttributeList把你所生成的SECURITY_CAPABILITIES结构传入STARTUPINFOEX结构的lpAttributeList成员
5.最后用CreateProcess或传入你所生成的STARTUPINFOEX结构即可（PS：不要忘记在dwflags参数里加入EXTENDED_STARTUPINFO_PRESENT）

接下来，你肯定会有疑惑；不要急；我会慢慢解答


首先我想解释一下什么是Capability；如果是Metro App开发者的话；以下截图应该会很熟悉



这些功能声明就是Capabilities，Capabilities SID系统判断你是否可以使用某个Capability或某些Capabilities的依据；如果你想知道Metro App可以声明哪些Capabilities；可以参考http://msdn.microsoft.com/en-us/library/windows/apps/hh464936.aspx


那什么又是AppContainer SID呢；AppContainer SID是系统识别一个AppContainer的依据（抱歉；我实在无法给出更好的措辞来解释；如果有更好的；可以在下面回帖；笔者感激不尽）

多说无用，我还是提供一些代码示例来说明如何使用AppContainer吧

（1）如何创建一个AppContainer

1. //创建一个AppContainer
   
2. bool NSudoCreateAppContainer(PCWSTR pszAppContainerName, PCWSTR pszDisplayName, PCWSTR pszDescription, bool bReCreate)
   
3. {
   
4.         bool bRet = false;
   
5. 
   
6.         PSID pSidAppContainerSid;
   
7. 
   
8.         if (bReCreate) DeleteAppContainerProfile(pszAppContainerName);
   
9. 
   
10.         if (S_OK == CreateAppContainerProfile(
    
11.                 pszAppContainerName,
    
12.                 pszDisplayName,
    
13.                 pszDescription,
    
14.                 NULL, NULL, &pSidAppContainerSid))
    
15.         {
    
16. 
    
17.                 bRet = true;
    
18.         }
    
19. 
    
20.         if (pSidAppContainerSid) FreeSid(pSidAppContainerSid);
    
21. 
    
22.         return bRet;
    
23. }

复制代码

（2）如何删除一个AppContainer

1. //删除指定的AppContainer
   
2. bool NSudoDeleteAppContainer(PCWSTR pszAppContainerName)
   
3. {
   
4.         if (S_OK == DeleteAppContainerProfile(pszAppContainerName)) return true;
   
5.         return false;
   
6. }

复制代码

（3）如何在指定的AppContainer下创建一个进程

1. //在指定的AppContainer运行一个程序(不能在模拟令牌模式调用，也不能在System和TrustedInstaller权限下调用)
   
2. bool NSudoCreateProcessInAppContainer(HANDLE hToken, PCWSTR pszAppContainerName, LPCWSTR lpApplicationName, LPWSTR lpCommandLine,LPCWSTR lpCurrentDirectory)
   
3. {
   
4.         bool bRet = true;
   
5. 
   
6.         const WELL_KNOWN_SID_TYPE capabilitiyTypeList[] =
   
7.         {
   
8.                 WinCapabilityInternetClientSid,
   
9.                 WinCapabilityInternetClientServerSid,
   
10.                 WinCapabilityPrivateNetworkClientServerSid,
    
11.                 WinCapabilityPicturesLibrarySid,
    
12.                 WinCapabilityVideosLibrarySid,
    
13.                 WinCapabilityMusicLibrarySid,
    
14.                 WinCapabilityDocumentsLibrarySid,
    
15.                 WinCapabilitySharedUserCertificatesSid,
    
16.                 WinCapabilityEnterpriseAuthenticationSid,
    
17.                 WinCapabilityRemovableStorageSid,
    
18.         };
    
19. 
    
20.         SID_AND_ATTRIBUTES CapabilitiesList[10];
    
21.         for (int i = 0; i < 10; i++)
    
22.         {
    
23.                 DWORD dwSIDSize = SECURITY_MAX_SID_SIZE;
    
24.                 CapabilitiesList[i].Sid = new unsigned char[SECURITY_MAX_SID_SIZE];
    
25.                 CapabilitiesList[i].Attributes = SE_GROUP_ENABLED;
    
26.                 if (!CreateWellKnownSid(capabilitiyTypeList[i], NULL, CapabilitiesList[i].Sid, &dwSIDSize) ||
    
27.                         !IsWellKnownSid(CapabilitiesList[i].Sid, capabilitiyTypeList[i]))
    
28.                 {
    
29.                         bRet = false;
    
30.                         break;
    
31.                 }
    
32.         }
    
33. 
    
34.         if (bRet)
    
35.         {
    
36.                 bRet = false;
    
37. 
    
38.                 PSID pAppContainerSID;
    
39.                 if (S_OK == DeriveAppContainerSidFromAppContainerName(pszAppContainerName, &pAppContainerSID))
    
40.                 {
    
41.                         SECURITY_CAPABILITIES SecurityCapabilities = { pAppContainerSID, CapabilitiesList, 10, 0 };
    
42.                         STARTUPINFOEX StartupInfoEx = { 0 };
    
43.                         PROCESS_INFORMATION ProcessInfo = { 0 };
    
44.                         StartupInfoEx.StartupInfo.cb = sizeof(STARTUPINFOEXW);
    
45. 
    
46.                         SIZE_T cbAttributeListSize = 0;
    
47.                         InitializeProcThreadAttributeList(NULL, 3, 0, &cbAttributeListSize);
    
48.                         StartupInfoEx.lpAttributeList = (PPROC_THREAD_ATTRIBUTE_LIST)HeapAlloc(GetProcessHeap(), 0, cbAttributeListSize);
    
49.                         if (InitializeProcThreadAttributeList(StartupInfoEx.lpAttributeList, 3, 0, &cbAttributeListSize))
    
50.                         {
    
51.                                 if (UpdateProcThreadAttribute(
    
52.                                         StartupInfoEx.lpAttributeList,
    
53.                                         0,
    
54.                                         PROC_THREAD_ATTRIBUTE_SECURITY_CAPABILITIES,
    
55.                                         &SecurityCapabilities,
    
56.                                         sizeof(SecurityCapabilities),
    
57.                                         NULL,
    
58.                                         NULL))
    
59.                                 {
    
60.                                         if (CreateProcessAsUserW(
    
61.                                                 hToken, lpApplicationName, lpCommandLine, nullptr, nullptr, FALSE,
    
62.                                                 EXTENDED_STARTUPINFO_PRESENT | CREATE_NEW_CONSOLE | CREATE_UNICODE_ENVIRONMENT,
    
63.                                                 NULL, lpCurrentDirectory, (LPSTARTUPINFOW)&StartupInfoEx, &ProcessInfo))
    
64.                                         {
    
65.                                                 bRet = true;
    
66.                                         }
    
67.                                         DeleteProcThreadAttributeList(StartupInfoEx.lpAttributeList);
    
68.                                 }
    
69.                         }
    
70.                         FreeSid(pAppContainerSID);
    
71.                 }
    
72.         }
    
73.         return bRet;
    
74. }

复制代码

（4）如何使指定的文件或文件夹指定的AppContainer下运行的进程能被读取（这个操作不能在AppContainer里面运行的进程使用）

1. //设定一个指定目录在指定的AppContainer下完全访问权限
   
2. bool SetFileGrantAccessInAppContainer(PCWSTR pszAppContainerName, LPWSTR pObjectName)
   
3. {
   
4.         bool bRet = false;
   
5. 
   
6.         PSID pAppContainerSID;
   
7.         if (S_OK == DeriveAppContainerSidFromAppContainerName(pszAppContainerName, &pAppContainerSID))
   
8.         {
   
9.                 EXPLICIT_ACCESS ea;
   
10. 
    
11.                 ea.grfAccessMode = GRANT_ACCESS;
    
12.                 ea.grfAccessPermissions = FILE_ALL_ACCESS;
    
13.                 ea.grfInheritance = OBJECT_INHERIT_ACE | CONTAINER_INHERIT_ACE;
    
14.                 ea.Trustee.MultipleTrusteeOperation = NO_MULTIPLE_TRUSTEE;
    
15.                 ea.Trustee.pMultipleTrustee = NULL;
    
16.                 ea.Trustee.TrusteeForm = TRUSTEE_IS_SID;
    
17.                 ea.Trustee.TrusteeType = TRUSTEE_IS_WELL_KNOWN_GROUP;
    
18.                 ea.Trustee.ptstrName = (LPTSTR)pAppContainerSID;
    
19. 
    
20.                 PACL pNewDacl = NULL, pOldDacl = NULL;
    
21. 
    
22.                 // 获取文件(夹)安全对象的DACL列表
    
23.                 if (ERROR_SUCCESS == GetNamedSecurityInfoW(
    
24.                         pObjectName,
    
25.                         SE_FILE_OBJECT, DACL_SECURITY_INFORMATION,
    
26.                         NULL, NULL, &pOldDacl, NULL, NULL))
    
27.                 {
    
28.                         // 创建新的ACL对象(合并已有的ACL对象和刚生成的用户帐户访问控制信息)
    
29.                         if (ERROR_SUCCESS == SetEntriesInAclW(1, &ea, pOldDacl, &pNewDacl))
    
30.                         {
    
31.                                 // 设置文件(夹)安全对象的DACL列表
    
32.                                 if (ERROR_SUCCESS == SetNamedSecurityInfoW(
    
33.                                         pObjectName,
    
34.                                         SE_FILE_OBJECT, DACL_SECURITY_INFORMATION,
    
35.                                         NULL, NULL, pNewDacl, NULL))
    
36.                                 {
    
37.                                         bRet = true;
    
38.                                 }
    
39.                                 LocalFree(pNewDacl);
    
40.                         }
    
41.                         LocalFree(pOldDacl);
    
42.                 }
    
43.                 FreeSid(pAppContainerSID);
    
44.         }
    
45.         return bRet;
    
46. }

复制代码

Mouri_Naruto

二.浅谈AppContainer下对Win32 App的兼容性


AppContainer下运行的Command Prompt是无法使用dir和ping的（这是我暂时的发现）


Process Explorer是少数可以在AppContainer下完美运行的软件（看这进程列表可见AppContainer限制很大）



对于用Net框架写的程序而言；AppContainer目测只支持Net4以后；Net4以前的即使你安装了框架；但还是会弹出功能安装失败的提示（或者根本没有提示）



AppContainer也是可以运行QQ的（你需要把%userprofile%\文档目录设置成AppContainer可以访问的目录）。但实际上QQ是半残的；比如任务栏托盘图标无法显示和消息无法自动弹窗……切换账号的时候QQ就自动退出了

ITechDeveloper

这技术太高深，默默支持了

宇宙中的恒星

默默支持

ahqwee

Mouri_Naruto 发表于 2015-7-6 21:47
二楼备用

AppContainer个人觉得恶心（现在想用wpf了），限制太严了，强制替换Token结构（我先Duplicate过的）居然连个进入锁屏（Lockworkstation）也弄不了（我做了n次的实验可以的，用同样的方法可以加上AppContainer，但是权限至少大了一些），把AppContainer已经去掉了。。。微软可以弄一个开放接口，可以有临时去除AppContainer的函数，给用户提示，让用户决定
楼主加油~~~
还有我想知道楼主怎么弄的（读取其他路径文件），我在ring0下弄得（还是比较方便的）

1. _SID_AND_ATTRIBUTES *Capabilities;

复制代码

1.   _SEP_LOWBOX_NUMBER_ENTRY *LowboxNumberEntry;
   
2.   _SEP_LOWBOX_HANDLES_ENTRY *LowboxHandlesEntry;

复制代码

1. /* 1311 */
   
2. struct _SEP_LOWBOX_HANDLES_ENTRY
   
3. {
   
4.   _RTL_DYNAMIC_HASH_TABLE_ENTRY HashEntry;
   
5.   int ReferenceCount;
   
6.   void *PackageSid;//应该对应你的AppContainer的SID
   
7.   unsigned int HandleCount;
   
8.   void **Handles;
   
9. };

复制代码

AppContainer还可以弄出一个安全沙箱工具。。
NtCreateLowBoxToken

Mouri_Naruto

ahqwee 发表于 2015-7-6 21:56
AppContainer个人觉得恶心（现在想用wpf了），限制太严了，强制替换Token结构（我先Duplicate过的）居然连 ...

嗯，谢谢

AppContainer限制的确很严；

微软可以弄一个开放接口，可以有临时去除AppContainer的函数，给用户提示，让用户决定

如果是这样就方便很多了

NtCreateLowBoxToken这个函数我查过资料并且实际用过；但是我用NtCreateLowBoxToken创建的在AppContainer下的进程与MS创建出来的在AppContainer下的进程还有些差距

碰到了以下问题
1.比如一些AppContainer的全局对象我就不知道如何创建
2.还有也无法实现目录和注册表的重定向（我始终不知道MS内部如何实现的目录重定向）

如果你知道的话；可以请教你吗

Mouri_Naruto

ahqwee 发表于 2015-7-6 21:56
AppContainer个人觉得恶心（现在想用wpf了），限制太严了，强制替换Token结构（我先Duplicate过的）居然连 ...

还有我想知道楼主怎么弄的（读取其他路径文件）

这个我会在文中介绍；先给你提供代码看看

1. //设定一个指定目录在指定的AppContainer下完全访问权限
   
2. bool SetFileGrantAccessInAppContainer(PCWSTR pszAppContainerName, LPWSTR pObjectName)
   
3. {
   
4.         bool bRet = false;
   
5. 
   
6.         PSID pAppContainerSID;
   
7.         if (S_OK == DeriveAppContainerSidFromAppContainerName(pszAppContainerName, &pAppContainerSID))
   
8.         {
   
9.                 EXPLICIT_ACCESS ea;
   
10. 
    
11.                 ea.grfAccessMode = GRANT_ACCESS;
    
12.                 ea.grfAccessPermissions = FILE_ALL_ACCESS;
    
13.                 ea.grfInheritance = OBJECT_INHERIT_ACE | CONTAINER_INHERIT_ACE;
    
14.                 ea.Trustee.MultipleTrusteeOperation = NO_MULTIPLE_TRUSTEE;
    
15.                 ea.Trustee.pMultipleTrustee = NULL;
    
16.                 ea.Trustee.TrusteeForm = TRUSTEE_IS_SID;
    
17.                 ea.Trustee.TrusteeType = TRUSTEE_IS_WELL_KNOWN_GROUP;
    
18.                 ea.Trustee.ptstrName = (LPTSTR)pAppContainerSID;
    
19. 
    
20.                 PACL pNewDacl = NULL, pOldDacl = NULL;
    
21. 
    
22.                 // 获取文件(夹)安全对象的DACL列表
    
23.                 if (ERROR_SUCCESS == GetNamedSecurityInfoW(
    
24.                         pObjectName,
    
25.                         SE_FILE_OBJECT, DACL_SECURITY_INFORMATION,
    
26.                         NULL, NULL, &pOldDacl, NULL, NULL))
    
27.                 {
    
28.                         // 创建新的ACL对象(合并已有的ACL对象和刚生成的用户帐户访问控制信息)
    
29.                         if (ERROR_SUCCESS == SetEntriesInAclW(1, &ea, pOldDacl, &pNewDacl))
    
30.                         {
    
31.                                 // 设置文件(夹)安全对象的DACL列表
    
32.                                 if (ERROR_SUCCESS == SetNamedSecurityInfoW(
    
33.                                         pObjectName,
    
34.                                         SE_FILE_OBJECT, DACL_SECURITY_INFORMATION,
    
35.                                         NULL, NULL, pNewDacl, NULL))
    
36.                                 {
    
37.                                         bRet = true;
    
38.                                 }
    
39.                                 LocalFree(pNewDacl);
    
40.                         }
    
41.                         LocalFree(pOldDacl);
    
42.                 }
    
43.                 FreeSid(pAppContainerSID);
    
44.         }
    
45. 
    
46. 
    
47.         return bRet;
    
48. }

复制代码

k25566

GJ~！学习了，赞一个！

ahqwee

Mouri_Naruto 发表于 2015-7-6 22:18
这个我会在文中介绍；先给你提供代码看看

ring3 token相关函数我也并不了解特别熟，如果让metro程序可以加载驱动，可以结束其他进程怎么做（ring3下）

Mouri_Naruto

ahqwee 发表于 2015-7-6 22:27
ring3 token相关函数我也并不了解特别熟，如果让metro程序可以加载驱动，可以结束其他进程怎么做（ring3下 ...

这个你需要用到Broker（也就是开后门）

大致方法如下（MS就是这么做的；所以Win10下Broker一堆；就连Edge都有2个Broker）

1.取消该AppContainer的回环网络限制
2.把Broker安装到系统中（最好注册成服务）
3.通过Socket与Broker通信

听我的朋友说，曾经还有通过与显卡驱动提权的点子（但是最终失败了）

zhxhwyzh14

好帖，支持下

Mouri_Naruto

ahqwee 发表于 2015-7-6 22:27
ring3 token相关函数我也并不了解特别熟，如果让metro程序可以加载驱动，可以结束其他进程怎么做（ring3下 ...

但是经过我的探索；也证实了Metro App不是一定要运行在AppContainer下面的；比如MS的系统级App（如设置app）……但是我截止现在还没有找到如何使Metro App脱离AppContainer的方法

csd1259

对于技术强帖 我只有默默的支持并收藏

小轩

技术控，真给力！

20011010wo

顶！d=====(￣▽￣*)b

195

厉害，学习了。

依文

毛利，既然是参考了不少已有的资料，正确的做法应该在文章末尾写明。

另外，看完我接着要说的话后，随便你说我什么都好，我要说的是：虽然话题跟你这个不同，但在CSDN或者cnBlogs这些技术博客里面，技术含金量比你高N倍的技术文章一大堆，别人都是自愿免费分享，从没“请求”过捐赠。觉得自己亏了就别发出来，发出来就别指望能得到金钱了。如果你想以写文章盈利，还是等你真正有技术，有名声的时候出书吧。

与时俱进come

看来微软对这个也没有公布太多的api了

librazy0598

其实多开放一些Capability也好啊……现在的Appcontainer太顾忌安全性了，如果Appcontainer的权限再放开一些，甚至可以引导桌面软件来使用Appcontainer，更有益于Windows的安全

Mouri_Naruto

依文 发表于 2015-7-6 23:29
毛利，既然是参考了不少已有的资料，正确的做法应该在文章末尾写明。

另外，看完我接着要说的话后，随便 ...

我参考的资料会在文章末尾提供（而且现在发出来的内容并没有参考资料（纯粹靠个人的实验；除了创建AppContainer下的进程参考了一个外文资料（而所对应的网页现在早已失效；我只有存档；下载会提供）））

但在CSDN或者cnBlogs这些技术博客里面，技术含金量比你高N倍的技术文章一大堆，别人都是自愿免费分享，从没“请求”过捐赠。觉得自己亏了就别发出来，发出来就别指望能得到金钱了。

哈哈，表示虽然CSDN或者cnBlogs这些技术博客技术含量高；但还是没能找到有关AppContainer的资料；如果有的话我也不会写文了

别人都是自愿免费分享，从没“请求”过捐赠

但是我始终认为“请求”捐赠不代表不自愿免费分享；我只是姜太公钓鱼罢了……而且如果我真考虑盈利的话，那么这篇文章我也不会发表的