[stas971]

Вопрос такой: как реализовать , чтобы exe не имел доступа к файловой системе. Это нечто схожее с драйвером файловой системы, но тогда ведь ни одно приложение не будет иметь доступ, а мне нужно определенное.
Если же без драйвера не обойтись, то не подскажите еще вот, что:
можно ли программно создать юзера в винде, запретить этому юзеру всякое действие в системе(открытие , чтение всяких файлов и т.п), а потом запустить другую программу в созданном юзере, будучи в имеющимся ? надеюсь кто то понял ;D Если кто то встречался , то подскажите .

есть тут пример http://www.delphisources.ru/pages/so...protector.html есть что то подобное, но для всего диска ?

[PhoeniX]

Есть возможность запустить exe из другой программы и полностью управлять его импортами, в том числе импортами библиотек, которые он подгружает. Подменяем вызов CreateFile на что-то, возвращающее "INVALID_HANDLE", и радуемся.

Пример писать не буду, гуглите сами.

И, да, естественно все антивирусы будут очень неприлично ругаться на такое поведение.

[stas971]

спасибо за направление, а не подскажите правильное название этой процедуры/функции, по которой нужно гуглить ?

[M.A.D.M.A.N.]

Шта?!

Берете жавамашину, настраиваете и в ней запускаете жавапрограмму, вот вам и программа в вакууме.

[Bargest]

Называется "Песочница" (Sandbox).

Цитата:

Есть возможность запустить exe из другой программы и полностью управлять его импортами, в том числе импортами библиотек, которые он подгружает. Подменяем вызов CreateFile на что-то, возвращающее "INVALID_HANDLE", и радуемся.

Это для простых программ. Ничто не мешает программе руками загрузить kernel32 или сразу ntdll, предварительно его дропнув из своих ресурсов (сразу в память). Можно даже заменить в коде слово CreateFile на HelloWorld и импортировать по нему. Или получать адрес функции вручную не по имени, а по сигнатуре. Короче, вариантов море, и при применении любого из них уже никакой сторонний наблюдатель не сможет отследить, что происходит обращение к файлу.

Так что сие решается только двумя путями.
Первое - драйвер, который, насколько я знаю, при желании может определить, кто его вызвал, после чего разрешить/запретить доступ. В крайнем случае драйвер может пропатчить syscall-таблицу, но при отсутствии должных знаний так можно добиться только BSOD'а (а также нарваться на PatchGuard в новых вендах). Любой нормальный антивирус будет очень ругаться.
Второе - эмулятор. Самопальная виртуальная машина с вендой, со своим почти пустым виртуальным диском и так далее. 100% рабочий метод. Но написать эмулятор - занятие не на 2 вечера. Проще всего использовать какой-нибудь qemu.

[M.A.D.M.A.N.]

Цитата:

Сообщение от Bargest

Но написать эмулятор - занятие не на 2 вечера. Проще всего использовать какой-нибудь qemu.

Внимание, срыв покровов!
http://www.delphisources.ru/pages/so...-emulator.html
Правда исходник галимый и представляет из себя Бокш, портированный на дельфи.

Будучи студентом, использовал чать кода этого (за основу была взята другая версия исходника, со значительным количеством исправлний в работе) проекта для своего курсача:

[Bargest]

Цитата:

Правда исходник галимый и представляет из себя Бокш, портированный на дельфи.

Интересно, запустится ли на этой поделке винда.
А вообще, хоть борщ, хоть куему, хоть вбокс - не важно. VBox вообще куски кода куему юзает. Не удивлюсь, если и куему с борщем не сильно отличаются.
Но это решение все-таки совсем не написание эмулятора, это портирование или небольшие модификации. В данном случае так и надо делать.

[M.A.D.M.A.N.]

Цитата:

Сообщение от Bargest

Интересно, запустится ли на этой поделке винда.

Windows 3.11 с образа дискетки запускалась, только с отключенным FPU, ибо как-то криво он эмулируется.

[Bargest]

Цитата:

Windows 3.11

Ну он почти дос. Он 16-битный, и вообще над ДОС-ом работает.
Я же говорю хотя бы про какой-нибудь WinXP.

[stas971]

Цитата:

Сообщение от Bargest

Называется "Песочница" (Sandbox).

к сожалению, никаких примеров песочниц на делфи я не нашел ((( не поможете с примером ?
подумываю сделать что то типо такого : программно создать нового юзера, запретить ему любые действия как в реестре так и в любой директории, операциями с файлами и запустить определенный софт под ним ... как считаете, это разумно ? или есть куда лучше и легче способ ?

[Bargest]

Цитата:

запретить ему любые действия как в реестре так и в любой директории

А как он тогда запустит программу? Запуск программы - это как минимум открытие файла приложения. А если приложение пишет временные файлы (а многие так делают)?
Запретить доступ в реестре можно, но полностью ко всем директориям не думаю, что получится.

Цитата:

к сожалению, никаких примеров песочниц на делфи я не нашел (((

Песочница - довольно сложная вещь, и их редко пишут. Вероятность найти на делфи очень низка. А вот песочницо-детекторов хватает.
Если искать, то на Си всякие opensource sandbox.

[stas971]

в общем, найти пример песочницы на делфи практически не реален ((( . Слышал, что в ddk (или уже wdk) имеется пример мини фильтра. Загрузил ddk версии 7600, проверил, вроде и в правду имеется в примерах. Но проблема не решена, есть ли ddk под delphi ? или именно этот пример. Не подскажите ?

[M.A.D.M.A.N.]

А при чем тут ддк и дельфи? ДДК -- это набор инструментов для разработки драйверов.

[stas971]

Цитата:

Сообщение от M.A.D.M.A.N.

А при чем тут ддк и дельфи? ДДК -- это набор инструментов для разработки драйверов.

ну так , один из вариантов решения моего вопросы было написание драйвера фильтра файловой системы, и вроде как в ДДК он присутствует.Вот и спросил, может где то есть ддк на делфи или именно тот пример.

[M.A.D.M.A.N.]

ДДК сишная шляпа. В принципе есть дикий, извращённый способ скомпилировать драйвер на дельфи.

Я понимаю, если бы вы задали вопрос «как скомпилировать драйвер и обратиться к нему из дельфи», вот это было бы логично.