在测试沙箱司机时有什么建议吗？

Question

我正在做一个沙箱司机的渗透测试，并试图打破沙箱。它是作为内核模式驱动程序实现的。沙箱化过程将包括：

• 用于读取操作的磁盘位置白名单
• 用于写入操作的磁盘位置的白名单
• 用于出站连接的IP地址/端口的白名单

它应该只允许打开TCP连接。

有什么特定的场景我可以测试吗？是否有任何开放源码库来测试沙箱环境？如果任何人都能分享他们以前在这类测试中的经验，那就太好了。

提前感谢！

注意:我需要测试Windows 2008 R2 64位。

Answer 1

有两种方法，一种是定量的，一种是定性的。

量化包括对沙箱驱动程序的输入进行模糊化。使用类似Peach、Sulley或其他的模糊框架来输入并查找沙箱之外的崩溃或文件操作。

定性方法涉及逆向工程，了解沙箱机理。然后尝试将这种理解与Windows提供的不同功能以及其他组件可能具有的不同级别的特权结合起来。沙箱可能会限制文件和网络操作，但是它会限制注入到不同的进程中吗？

设想设想：

• 操作其他进程和系统，以便在沙箱外写入
• 使用本机系统例程NtWriteFile和ZwWriteFile
• 加载驱动程序并写入\\Device\Harddisk4\Partition2\mydir\myfile.txt、\DosDevices\c:\path_to_file.txt、\Device\Tcp等设备
• 用rundll32.exe加载DLL
• 取消挂钩或混淆挂钩机制
• 使用符号链接混淆沙箱
• 使用备用数据流fileinsandbox.txt:fileoutsidesandbox.txt
• 执行目录遍历path\in\sandbox\..\..\..\outside.txt
• 使用环境变量，如%SystemRoot%、%WinDir%、%TEMP%