首页课程文章
无痕注入APC注入线程注入读写驱动注入技术句柄表进程线程系统调用保护模式内存管理远程CALL软件调试驱动封装云下发驱动开发FPS数据方框透视FPS方框FPS自瞄CED3DHOOKD3D绘制Imgui绘制DWM
内核课程驱动出租学习路线聊天室免责声明提问技巧

软件逆向-SandboxiePlus 高级功能无限试用破解

推荐 原创

周杰伦

文章分类软件逆向阅读数 : 43阅读时长 : 9分钟


【软件逆向-SandboxiePlus 高级功能无限试用破解】此文章归类为:软件逆向。

SandboxiePlus 高级功能无限试用破解

前言

前几天偶然发现SandboxiePlus的一些有意思的高级功能,比如:数据保护、安全强化和应用程隔离。但这些功能都要收费,免费的证书有效期也只有10天,每个PC只能申请三次。
最大申请次数

虽然它已经开源了,鼓励大家提交代码,使用这个软件,看起来破解它没太大的必要,但你自己编译的程序没有微软的签名,正常使用这个程序需要关闭强制驱动签名(DSE),对于没有虚拟机环境的用户来说显然不可行,这无疑将更大的风险暴露了出来。换句话说,如果我有虚拟机环境了,我也没必要使用SandboxiePlus,除非你是研究这个程序的。本篇文章介绍了如何在其官方发布的程序中(带微软官方签名),通过替换一些模块,实现无限试用其高级功能。

注意:这里的证书只是一段字符串,不是.DER、.CER或.PFX那种格式的证书,不要搞混了。

验证流程

首先需要获取一个试用证书,这个证书肯定是有效的,然后分析整个程序如何对这个证书的内容进行验证。

获取试用证书

获取证书的路径在选项->全局配置->捐赠支持->获取一个免费试用许可证
获取免费试用证书
接下来需要输入一个邮箱地址,这个邮箱地址可以是无效的,它并不会像你的邮箱中发送一个验证链接,然后点击确定就行了。
hello_mail
最后等待几秒中,SandboxiePlus会需要一个权限,向自己的安装路径中的Certificate.dat文件写入获取的证书内容,我这里的证书如下:

1
2
3
4
5
6
7
NAME: bill
DATE: 17.03.2025
TYPE: EVALUATION-10
SOFTWARE: Sandboxie-Plus
HWID: 915BB029-C29E-4ACB-B8C7-065BEF13003C
UPDATEKEY: D0AF829D7FEE7640664ACB28F0129C99
SIGNATURE: Vj3hDYSa3QmNZ79URapkTK2hR2pUa+kjF1ArxsxVDYI+KE0hevIimSbNyfyQvsxUgU4mi5ppMOMZL82UYkMWgA==

上述流程对应的代码是OnlineUpdater.cpp的COnlineUpdater::GetSupportCert函数中,该函数中会获取之前输入的邮箱地址、当前计算机用户名以及和驱动交互拿到PC硬件SMBIOS中的UUID,然后拼接成下面格式的URL

1
https://sandboxie-plus.com/get_cert.php?eMail=xxx&Name=xxx&HwId=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx

向服务端发送网络请求,最后服务端返回的就是上面证书的内容。另一种验证方法是通过序列号,这个应该是没有和PC硬件进行绑定的,这种方法这里就不介绍了,感兴趣的小伙伴可以自行研究一下。

驱动验证

证书的验证主要在驱动侧,52pojie论坛上面从Sandboxie源码分析软件注册机制及逆向思路这篇文章介绍了如何绕过驱动的验证,总结来说就是让驱动的验证函数直接返回STATUS_SUCCESS,绕过验证。这不符合我们需求,而且这种方法现在已经无效了,一些高级功能还是无法使用。
驱动的验证函数是verify.c中的KphValidateCertificate函数,主要验证流程如下:

  1. 打开并获取Certificate.dat文件的内容,解析成如下key:value的形式,
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
WCHAR *ptr;
WCHAR *name;
WCHAR *value;
ULONG temp_len;
 
// parse tag name: value
 
ptr = wcschr(line, L':');
if ((! ptr) || ptr == line) {
    status = STATUS_INVALID_PARAMETER;
    break;
}
value = &ptr[1];
 
// eliminate trailing whitespace in the tag name
 
while (ptr > line) {
    --ptr;
    if (*ptr > 32) {
        ++ptr;
        break;
    }
}
*ptr = L'\0';
 
name = line;
 
// eliminate leading and trailing whitespace in value
 
while (*value <= 32) {
    if (! (*value))
        break;
    ++value;
}
 
if (*value == L'\0') {
    status = STATUS_INVALID_PARAMETER;
    break;
}
 
ptr = value + wcslen(value);
while (ptr > value) {
    --ptr;
    if (*ptr > 32) {
        ++ptr;
        break;
    }
}
*ptr = L'\0';
/*
name : key
{
    "NAME":"bill",
    "DATE":"17.03.2025",
    "TYPE":"EVALUATION-10",
    "SOFTWARE":"Sandboxie-Plus",
    "HWID":"915BB029-C29E-4ACB-B8C7-065BEF13003C",
    "UPDATEKEY":"D0AF829D7FEE7640664ACB28F0129C99",
}
*/

获取字段中的信息,如下:

  • "NAME"字段的值表示用户名,
  • "DATA"字段的值表示试用证书的开始日期,
  • "TYPE"字段的值"EVALUATION"表示证书类型,"10"表示有效试用期时间,单位是天
  • "SOFTWARE"字段的值表示软件名称,必须是"Sandboxie-Plus",任何类型的证书都是"Sandboxie-Plus",否则无法验证通过。
1
2
3
4
5
6
else if (_wcsicmp(L"SOFTWARE", name) == 0) { // if software is specified it must be the right one
    if (_wcsicmp(value, SOFTWARE_NAME) != 0) {
        status = STATUS_OBJECT_TYPE_MISMATCH;
        goto CleanupExit;
    }
}
  • "UPDATEKEY"字段的值表示证书的更新密钥,如果这个值存在一个黑名单中,则验证失败。
  • "HWID"字段的值表示硬件ID,如果和当前机器的硬件ID不相同,验证失败。
1
2
3
4
5
6
7
else if (_wcsicmp(L"HWID", name) == 0) { // if HwId is specified it must be the right one
    extern wchar_t g_uuid_str[40];
    if (_wcsicmp(value, g_uuid_str) != 0) {
        status = STATUS_FIRMWARE_IMAGE_INVALID;
        goto CleanupExit;
    }
}
  1. 然后将key和value输入填入缓存区,使用SHA256算法进行hash运算.
1
2
3
4
5
6
7
8
9
10
11
12
// 初始化hash
if(!NT_SUCCESS(status = MyInitHash(&hashObj)))
    goto CleanupExit;
// 填充数据
if (NT_SUCCESS(RtlUnicodeToUTF8N(temp, line_size, &temp_len, name, wcslen(name) * sizeof(wchar_t))))
    MyHashData(&hashObj, temp, temp_len);
 
if (NT_SUCCESS(RtlUnicodeToUTF8N(temp, line_size, &temp_len, value, wcslen(value) * sizeof(wchar_t))))
    MyHashData(&hashObj, temp, temp_len);
// 计算hash
if(!NT_SUCCESS(status = MyFinishHash(&hashObj, &hash, &hashSize)))
    goto CleanupExit;
  1. 签名验证。验证函数函数如下,Hash和HashSize就是上文中的sha256值和长度,Signature是证书中的"SIGNATURE"对应的值,这个值是经过base64编码的,到验证函数这个地方已经经过解码了。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
static UCHAR KphpTrustedPublicKey[] =
{
    0x45, 0x43, 0x53, 0x31, 0x20, 0x00, 0x00, 0x00, 0x05, 0x7A, 0x12, 0x5A, 0xF8, 0x54, 0x01, 0x42,
    0xDB, 0x19, 0x87, 0xFC, 0xC4, 0xE3, 0xD3, 0x8D, 0x46, 0x7B, 0x74, 0x01, 0x12, 0xFC, 0x78, 0xEB,
    0xEF, 0x7F, 0xF6, 0xAF, 0x4D, 0x9A, 0x3A, 0xF6, 0x64, 0x90, 0xDB, 0xE3, 0x48, 0xAB, 0x3E, 0xA7,
    0x2F, 0xC1, 0x18, 0x32, 0xBD, 0x23, 0x02, 0x9D, 0x3F, 0xF3, 0x27, 0x86, 0x71, 0x45, 0x26, 0x14,
    0x14, 0xF5, 0x19, 0xAA, 0x2D, 0xEE, 0x50, 0x10
};
 
NTSTATUS KphVerifySignature(
    _In_ PVOID Hash,
    _In_ ULONG HashSize,
    _In_ PUCHAR Signature,
    _In_ ULONG SignatureSize
    )
{
    NTSTATUS status;
    BCRYPT_ALG_HANDLE signAlgHandle = NULL;
    BCRYPT_KEY_HANDLE keyHandle = NULL;
    PVOID hash = NULL;
    ULONG hashSize;
 
    // Import the trusted public key.
    // KPH_SIGN_ALGORITHM -> BCRYPT_ECDSA_P256_ALGORITHM
    if (!NT_SUCCESS(status = BCryptOpenAlgorithmProvider(&signAlgHandle, KPH_SIGN_ALGORITHM, NULL, 0)))
        goto CleanupExit;
    if (!NT_SUCCESS(status = BCryptImportKeyPair(signAlgHandle, NULL, KPH_BLOB_PUBLIC, &keyHandle,
        KphpTrustedPublicKey, sizeof(KphpTrustedPublicKey), 0))) // KPH_BLOB_PUBLIC -> BCRYPT_ECCPUBLIC_BLOB
    {
        goto CleanupExit;
    }
 
    // Verify the hash.
 
    if (!NT_SUCCESS(status = BCryptVerifySignature(keyHandle, NULL, Hash, HashSize, Signature,
        SignatureSize, 0)))
    {
        goto CleanupExit;
    }
 
CleanupExit:
    if (keyHandle)
        BCryptDestroyKey(keyHandle);
    if (signAlgHandle)
        BCryptCloseAlgorithmProvider(signAlgHandle, 0);
 
    return status;
}

这个函数试用的签名算法是BCRYPT_ECDSA_P256_ALGORITHM.

  1. 验证通过之后,开始填充Verify_CertInfo全局变量,它的类型是SCertInfo。SandboxiePlus用户态和驱动进行通信,返回Verify_CertInfo的内容,来查询当前机器是否有资格使用一些高级功能。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
typedef union _SCertInfo {
    unsigned long long State;
    struct {
        unsigned long
            active      : 1,    // certificate is active
            expired     : 1,    // certificate is expired but may be active
            outdated    : 1,    // certificate is expired, not anymore valid for the current build
            unused_1    : 2,    // DEPRECATED
            grace_period: 1,    // the certificate is expired and or outdated but we keep it valid for 1 extra month to allof wor a seamless renewal
            reservd_2   : 2,
 
            type        : 5,
            level       : 3,
 
            reservd_3   : 8,
 
            reservd_4   : 4,    // More features
            opt_desk    : 1,    // Isolated Sandboxie Desktops:             "UseSandboxDesktop"
            opt_net     : 1,    // Advanced Network features:               "NetworkDnsFilter", "NetworkUseProxy".
            opt_enc     : 1,    // Box Encryption and Box Protection:       "ConfidentialBox", "UseFileImage", "EnableEFS".
            opt_sec     : 1;    // Various security enhanced box types:   "UseSecurityMode", "SysCallLockDown", "RestrictDevices", "UseRuleSpecificity", "UsePrivacyMode", "ProtectHostImages",
                                // as well as reduced isolation box type:   "NoSecurityIsolation".
                                 
                                // Other features, available with any cert: "UseRamDisk", "ForceUsbDrives",
                                // as well as Automatic Updates, etc....
 
        long expirers_in_sec;
    };
} SCertInfo;

前面签名已经验证通过了,所以将active设置为1。根据"TYPE"设置type,这里为eCertEvaluation,对应的level为eCertMaxLevel表示可以试用SandboxiePlus的所有高级功能,部分代码如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
// 设置type
 else if (_wcsicmp(type, L"EVALUATION") == 0 || _wcsicmp(type, L"TEST") == 0)
            Verify_CertInfo.type = eCertEvaluation;
// 设置level
else if (CERT_IS_TYPE(Verify_CertInfo, eCertEvaluation)) // in evaluation the level field holds the amount of days to allow evaluation for
{
    if(days) expiration_date.QuadPart = cert_date.QuadPart + KphGetDateInterval((CSHORT)(days), 0, 0);
    else expiration_date.QuadPart = cert_date.QuadPart + KphGetDateInterval((CSHORT)(level ? _wtoi(level) : 7), 0, 0); // x days, default 7
    Verify_CertInfo.level = eCertMaxLevel;
}
// 设置高级功能,注意没有break,会fall-through
switch (Verify_CertInfo.level)
{
    case eCertMaxLevel:
    //case eCertUltimate:
        Verify_CertInfo.opt_desk = 1;
    case eCertAdvanced:
        Verify_CertInfo.opt_net = 1;
    case eCertAdvanced1:
        Verify_CertInfo.opt_enc = 1;
    case eCertStandard2:
    case eCertStandard:
        Verify_CertInfo.opt_sec = 1;
    //case eCertBasic:
}

接下来就是填充expired,判断当前证书是否过期。如果证书类型是eCertEternal,将永远有效。验证eCertEvaluation证书有效期逻辑如下:

1
2
3
4
5
6
7
8
9
LARGE_INTEGER SystemTime;
LARGE_INTEGER LocalTime;
KeQuerySystemTime(&SystemTime);
ExSystemTimeToLocalTime(&SystemTime, &LocalTime);
 
   // check if this certificate is expired
if (expiration_date.QuadPart < LocalTime.QuadPart)
    Verify_CertInfo.expired = 1;
Verify_CertInfo.expirers_in_sec = (ULONG)((expiration_date.QuadPart - LocalTime.QuadPart) / 10000000ll); // 100ns steps -> 1sec

总结:这个验证过程就是获取证书内容,对除签名字段以外的其他内容进行sha256运算,然后hash值和签名使用ECDSA算法进行验证。验证通过之后,填充全局变量Verify_CertInfo。

破解思路

破解私钥

  • 渗透大佬可以尝试拿些"2a3K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6K6j5h3&6V1j5X3!0^5K9h3g2Q4x3X3c8H3L8s2g2K6i4K6u0W2j5$3!0E0i4K6u0r3"这台主机,获取KphpTrustedPublicKey对应的私钥,大佬们可以挑战下。
  • 尝试基于密码学的一些原理破解私钥,比如:选择明文攻击。现在的计算机水平,几乎无法实现。

修改机器时间

  • 假如你不怕麻烦的话,可以申请一个有效试用证书,不断修改当前机器的时间,实现永远在有效期内。

修改用户态查询结果

上文中介绍了驱动中的验证逻辑,用户态通过和内核态通信来判断是否可以使用一些高级功能,其实就是返回Verify_CertInfo中的内容。那么能不能通过修改用户态的结果来绕过验证?

  • 情况一:假如构造一个无效证书,修改用户态的查询结果,是否可行?答案是不可行。因为你绕过了用户态验证,但内核态的Verify_CertInfo中的信息并没有变,当你使用一些高级功能,内核态也会进行判断对应的字段是否有效,相关代码如下:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
_FX PROCESS *Process_Create(
    HANDLE ProcessId, const BOX *box, const WCHAR *image_path,
    KIRQL *out_irql)
{
    ......
    if (!Verify_CertInfo.opt_sec && !proc->image_sbie) {
 
        const WCHAR* exclusive_setting = NULL;
        if (proc->use_security_mode)
            exclusive_setting = L"UseSecurityMode";
        else if (proc->is_locked_down)
            exclusive_setting = L"SysCallLockDown";
        else if (proc->restrict_devices)
            exclusive_setting = L"RestrictDevices";
        else
    #ifdef USE_MATCH_PATH_EX
        if (proc->use_rule_specificity)
            exclusive_setting = L"UseRuleSpecificity";
        else if (proc->use_privacy_mode)
            exclusive_setting = L"UsePrivacyMode";
        else
    #endif
        if (proc->bAppCompartment)
            exclusive_setting = L"NoSecurityIsolation";
        else if (proc->protect_host_images)
            exclusive_setting = L"ProtectHostImages";
 
        if (exclusive_setting) {
 
            Log_Msg_Process(MSG_6004, proc->box->name, exclusive_setting, box->session_id, proc->pid);
 
            // allow the process to run for a sort while to allow the features to be evaluated
            Process_ScheduleKill(proc, 5*60*1000); // 5 minutes
        }
    }
    if (!Verify_CertInfo.opt_enc && !proc->image_sbie) {
     
        const WCHAR* exclusive_setting = NULL;
        if (proc->confidential_box)
            exclusive_setting = L"ConfidentialBox";
 
        if (exclusive_setting) {
 
            Log_Msg_Process(MSG_6009, proc->box->name, exclusive_setting, box->session_id, proc->pid);
 
            Pool_Delete(pool);
            Process_CreateTerminated(ProcessId, box->session_id);
            return NULL;
        }
    }
    ......
}
  • 情况二:假如我申请一个有效试用证书,但我能否修改用户态的查询结果,实现软件的无限试用?答案是可以。当我一个试用证书过期了,_SCertInfo结构体中除了expired之外的其他成员都是正常的,而expired字段的校验交给了用户态,内核态并没有校验。查找所有参数IoControlCode为API_QUERY_DRIVER_INFO,调用NtDeviceIoControlFile的代码,修改返回结果,将expired字段设置为0,expirers_in_sec设置为0xffffffff,即可实现无限试用。

unlimited

对应的文件已经编译成了DLL,请关注下面的公众号,

二维码

回复SandboxiePlus关键字获取下载链接。文件下载后替换SandboxiePlus安装目中的文件即可。

总结

本文利用了SandboxPlus验证逻辑漏洞,通过修改SandboxiePlus用户态程序查询证书信息的结果,实现了无限试用官方正式版高级功能的效果。


最后于 2小时前 被kanxue编辑 ,原因:


更多【软件逆向-SandboxiePlus 高级功能无限试用破解】相关视频教程:www.yxfzedu.com




相关文章推荐

记录自己的技术轨迹
文章规则:
1):文章标题请尽量与文章内容相符
2):严禁色情、血腥、暴力
3):严禁发布任何形式的广告贴
4):严禁发表关于中国的政治类话题
5):严格遵守中国互联网法律法规
6):有侵权,疑问可发邮件至service@yxfzedu.com
近期原创 更多

Markdown Editor

友情链接
内核结构FAQ
免责声明
课程目录
Windows内核
游戏逆向(FPS)
技术交流QQ群
342478842215039827137189196
314055665159620936
www.yxfzedu.com是一个分享游戏安全,游戏外挂与反外挂,游戏驱动保护的视频网站!
接各种驱动定制如:游戏读写驱动,软件内存保护,防止调试等功能定制。
出租读写驱动,调试驱动,无痕注入支持各种游戏。
邮箱:service@yxfzedu.com
QQ:851920120
特别说明:不接游戏数据分析,外挂编写,登陆协议等类似业务。