前几天偶然发现SandboxiePlus的一些有意思的高级功能,比如:数据保护、安全强化和应用程隔离。但这些功能都要收费,免费的证书有效期也只有10天,每个PC只能申请三次。

max_eval.png (67.97 KB, 下载次数: 1)
下载附件
最大申请次数
2025-3-22 21:49 上传
虽然它已经开源了,鼓励大家提交代码,使用这个软件,看起来破解它没太大的必要,但你自己编译的程序没有微软的签名,正常使用这个程序需要关闭强制驱动签名(DSE),对于没有虚拟机环境的用户来说显然不可行,这无疑将更大的风险暴露了出来。换句话说,如果我有虚拟机环境了,我也没必要使用SandboxiePlus,除非你是研究这个程序的。本篇文章介绍了如何在其官方发布的程序中(带微软官方签名),通过替换一些模块,实现无限试用其高级功能。
注意:这里的证书只是一段字符串,不是.DER、.CER或.PFX那种格式的证书,不要搞混了。
验证流程
首先需要获取一个试用证书,这个证书肯定是有效的,然后分析整个程序如何对这个证书的内容进行验证。
获取试用证书
获取证书的路径在选项->全局配置->捐赠支持->获取一个免费试用许可证,

get_free_cert.png (75.24 KB, 下载次数: 1)
下载附件
获取免费试用证书
2025-3-22 21:48 上传
接下来需要输入一个邮箱地址,这个邮箱地址可以是无效的,它并不会像你的邮箱中发送一个验证链接,然后点击确定就行了。

hello_mail.png (18.06 KB, 下载次数: 1)
下载附件
hello_mail
2025-3-22 21:49 上传
最后等待几秒中,SandboxiePlus会需要一个权限,向自己的安装路径中的Certificate.dat文件写入获取的证书内容,我这里的证书如下:
NAME: bill
DATE: 17.03.2025
TYPE: EVALUATION-10
SOFTWARE: Sandboxie-Plus
HWID: 915BB029-C29E-4ACB-B8C7-065BEF13003C
UPDATEKEY: D0AF829D7FEE7640664ACB28F0129C99
SIGNATURE: Vj3hDYSa3QmNZ79URapkTK2hR2pUa+kjF1ArxsxVDYI+KE0hevIimSbNyfyQvsxUgU4mi5ppMOMZL82UYkMWgA==
上述流程对应的代码是OnlineUpdater.cpp的COnlineUpdater::GetSupportCert函数中,该函数中会获取之前输入的邮箱地址、当前计算机用户名以及和驱动交互拿到PC硬件SMBIOS中的UUID,然后拼接成下面格式的URL
https://sandboxie-plus.com/get_cert.php?eMail=xxx&Name=xxx&HwId=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx
向服务端发送网络请求,最后服务端返回的就是上面证书的内容。另一种验证方法是通过序列号,这个应该是没有和PC硬件进行绑定的,这种方法这里就不介绍了,感兴趣的小伙伴可以自行研究一下。
驱动验证
证书的验证主要在驱动侧,52pojie论坛上面从Sandboxie源码分析软件注册机制及逆向思路这篇文章介绍了如何绕过驱动的验证,总结来说就是让驱动的验证函数直接返回STATUS_SUCCESS,绕过验证。这不符合我们需求,而且这种方法现在已经无效了,一些高级功能还是无法使用。
驱动的验证函数是verify.c中的KphValidateCertificate函数,主要验证流程如下:
[ol]
[/ol]
WCHAR *ptr;
WCHAR *name;
WCHAR *value;
ULONG temp_len;
// parse tag name: value
ptr = wcschr(line, L':');
if ((! ptr) || ptr == line) {
status = STATUS_INVALID_PARAMETER;
break;
}
value = &ptr[1];
// eliminate trailing whitespace in the tag name
while (ptr > line) {
--ptr;
if (*ptr > 32) {
++ptr;
break;
}
}
*ptr = L'\0';
name = line;
// eliminate leading and trailing whitespace in value
while (*value value) {
--ptr;
if (*ptr > 32) {
++ptr;
break;
}
}
*ptr = L'\0';
/*
name : key
{
"NAME":"bill",
"DATE":"17.03.2025",
"TYPE":"EVALUATION-10",
"SOFTWARE":"Sandboxie-Plus",
"HWID":"915BB029-C29E-4ACB-B8C7-065BEF13003C",
"UPDATEKEY":"D0AF829D7FEE7640664ACB28F0129C99",
}
*/
获取字段中的信息,如下:
else if (_wcsicmp(L"SOFTWARE", name) == 0) { // if software is specified it must be the right one
if (_wcsicmp(value, SOFTWARE_NAME) != 0) {
status = STATUS_OBJECT_TYPE_MISMATCH;
goto CleanupExit;
}
}
else if (_wcsicmp(L"HWID", name) == 0) { // if HwId is specified it must be the right one
extern wchar_t g_uuid_str[40];
if (_wcsicmp(value, g_uuid_str) != 0) {
status = STATUS_FIRMWARE_IMAGE_INVALID;
goto CleanupExit;
}
}
2.然后将key和value输入填入缓存区,使用SHA256算法进行hash运算.
// 初始化hash
if(!NT_SUCCESS(status = MyInitHash(&hashObj)))
goto CleanupExit;
// 填充数据
if (NT_SUCCESS(RtlUnicodeToUTF8N(temp, line_size, &temp_len, name, wcslen(name) * sizeof(wchar_t))))
MyHashData(&hashObj, temp, temp_len);
if (NT_SUCCESS(RtlUnicodeToUTF8N(temp, line_size, &temp_len, value, wcslen(value) * sizeof(wchar_t))))
MyHashData(&hashObj, temp, temp_len);
// 计算hash
if(!NT_SUCCESS(status = MyFinishHash(&hashObj, &hash, &hashSize)))
goto CleanupExit;
3.签名验证。验证函数函数如下,Hash和HashSize就是上文中的sha256值和长度,Signature是证书中的"SIGNATURE"对应的值,这个值是经过base64编码的,到验证函数这个地方已经经过解码了。
static UCHAR KphpTrustedPublicKey[] =
{
0x45, 0x43, 0x53, 0x31, 0x20, 0x00, 0x00, 0x00, 0x05, 0x7A, 0x12, 0x5A, 0xF8, 0x54, 0x01, 0x42,
0xDB, 0x19, 0x87, 0xFC, 0xC4, 0xE3, 0xD3, 0x8D, 0x46, 0x7B, 0x74, 0x01, 0x12, 0xFC, 0x78, 0xEB,
0xEF, 0x7F, 0xF6, 0xAF, 0x4D, 0x9A, 0x3A, 0xF6, 0x64, 0x90, 0xDB, 0xE3, 0x48, 0xAB, 0x3E, 0xA7,
0x2F, 0xC1, 0x18, 0x32, 0xBD, 0x23, 0x02, 0x9D, 0x3F, 0xF3, 0x27, 0x86, 0x71, 0x45, 0x26, 0x14,
0x14, 0xF5, 0x19, 0xAA, 0x2D, 0xEE, 0x50, 0x10
};
NTSTATUS KphVerifySignature(
_In_ PVOID Hash,
_In_ ULONG HashSize,
_In_ PUCHAR Signature,
_In_ ULONG SignatureSize
)
{
NTSTATUS status;
BCRYPT_ALG_HANDLE signAlgHandle = NULL;
BCRYPT_KEY_HANDLE keyHandle = NULL;
PVOID hash = NULL;
ULONG hashSize;
// Import the trusted public key.
// KPH_SIGN_ALGORITHM -> BCRYPT_ECDSA_P256_ALGORITHM
if (!NT_SUCCESS(status = BCryptOpenAlgorithmProvider(&signAlgHandle, KPH_SIGN_ALGORITHM, NULL, 0)))
goto CleanupExit;
if (!NT_SUCCESS(status = BCryptImportKeyPair(signAlgHandle, NULL, KPH_BLOB_PUBLIC, &keyHandle,
KphpTrustedPublicKey, sizeof(KphpTrustedPublicKey), 0))) // KPH_BLOB_PUBLIC -> BCRYPT_ECCPUBLIC_BLOB
{
goto CleanupExit;
}
// Verify the hash.
if (!NT_SUCCESS(status = BCryptVerifySignature(keyHandle, NULL, Hash, HashSize, Signature,
SignatureSize, 0)))
{
goto CleanupExit;
}
CleanupExit:
if (keyHandle)
BCryptDestroyKey(keyHandle);
if (signAlgHandle)
BCryptCloseAlgorithmProvider(signAlgHandle, 0);
return status;
}
这个函数试用的签名算法是BCRYPT_ECDSA_P256_ALGORITHM.
4.验证通过之后,开始填充Verify_CertInfo全局变量,它的类型是SCertInfo。SandboxiePlus用户态和驱动进行通信,返回Verify_CertInfo的内容,来查询当前机器是否有资格使用一些高级功能。
typedef union _SCertInfo {
unsigned long long State;
struct {
unsigned long
active : 1, // certificate is active
expired : 1, // certificate is expired but may be active
outdated : 1, // certificate is expired, not anymore valid for the current build
unused_1 : 2, // DEPRECATED
grace_period: 1, // the certificate is expired and or outdated but we keep it valid for 1 extra month to allof wor a seamless renewal
reservd_2 : 2,
type : 5,
level : 3,
reservd_3 : 8,
reservd_4 : 4, // More features
opt_desk : 1, // Isolated Sandboxie Desktops: "UseSandboxDesktop"
opt_net : 1, // Advanced Network features: "NetworkDnsFilter", "NetworkUseProxy".
opt_enc : 1, // Box Encryption and Box Protection: "ConfidentialBox", "UseFileImage", "EnableEFS".
opt_sec : 1; // Various security enhanced box types: "UseSecurityMode", "SysCallLockDown", "RestrictDevices", "UseRuleSpecificity", "UsePrivacyMode", "ProtectHostImages",
// as well as reduced isolation box type: "NoSecurityIsolation".
// Other features, available with any cert: "UseRamDisk", "ForceUsbDrives",
// as well as Automatic Updates, etc....
long expirers_in_sec;
};
} SCertInfo;
前面签名已经验证通过了,所以将active设置为1。根据"TYPE"设置type,这里为eCertEvaluation,对应的level为eCertMaxLevel表示可以试用SandboxiePlus的所有高级功能,部分代码如下:
// 设置type
else if (_wcsicmp(type, L"EVALUATION") == 0 || _wcsicmp(type, L"TEST") == 0)
Verify_CertInfo.type = eCertEvaluation;
// 设置level
else if (CERT_IS_TYPE(Verify_CertInfo, eCertEvaluation)) // in evaluation the level field holds the amount of days to allow evaluation for
{
if(days) expiration_date.QuadPart = cert_date.QuadPart + KphGetDateInterval((CSHORT)(days), 0, 0);
else expiration_date.QuadPart = cert_date.QuadPart + KphGetDateInterval((CSHORT)(level ? _wtoi(level) : 7), 0, 0); // x days, default 7
Verify_CertInfo.level = eCertMaxLevel;
}
// 设置高级功能,注意没有break,会fall-through
switch (Verify_CertInfo.level)
{
case eCertMaxLevel:
//case eCertUltimate:
Verify_CertInfo.opt_desk = 1;
case eCertAdvanced:
Verify_CertInfo.opt_net = 1;
case eCertAdvanced1:
Verify_CertInfo.opt_enc = 1;
case eCertStandard2:
case eCertStandard:
Verify_CertInfo.opt_sec = 1;
//case eCertBasic:
}
接下来就是填充expired,判断当前证书是否过期。如果证书类型是eCertEternal,将永远有效。验证eCertEvaluation证书有效期逻辑如下:
LARGE_INTEGER SystemTime;
LARGE_INTEGER LocalTime;
KeQuerySystemTime(&SystemTime);
ExSystemTimeToLocalTime(&SystemTime, &LocalTime);
// check if this certificate is expired
if (expiration_date.QuadPart 1sec
总结:这个验证过程就是获取证书内容,对除签名字段以外的其他内容进行sha256运算,然后hash值和签名使用ECDSA算法进行验证。验证通过之后,填充全局变量Verify_CertInfo。
破解思路
破解私钥
修改机器时间
修改用户态查询结果
上文中介绍了驱动中的验证逻辑,用户态通过和内核态通信来判断是否可以使用一些高级功能,其实就是返回Verify_CertInfo中的内容。那么能不能通过修改用户态的结果来绕过验证?
情况一:假如构造一个无效证书,修改用户态的查询结果,是否可行?答案是不可行。因为你绕过了用户态验证,但内核态的Verify_CertInfo中的信息并没有变,当你使用一些高级功能,内核态也会进行判断对应的字段是否有效,相关代码如下:
_FX PROCESS *Process_Create(
HANDLE ProcessId, const BOX *box, const WCHAR *image_path,
KIRQL *out_irql)
{
......
if (!Verify_CertInfo.opt_sec && !proc->image_sbie) {
const WCHAR* exclusive_setting = NULL;
if (proc->use_security_mode)
exclusive_setting = L"UseSecurityMode";
else if (proc->is_locked_down)
exclusive_setting = L"SysCallLockDown";
else if (proc->restrict_devices)
exclusive_setting = L"RestrictDevices";
else
#ifdef USE_MATCH_PATH_EX
if (proc->use_rule_specificity)
exclusive_setting = L"UseRuleSpecificity";
else if (proc->use_privacy_mode)
exclusive_setting = L"UsePrivacyMode";
else
#endif
if (proc->bAppCompartment)
exclusive_setting = L"NoSecurityIsolation";
else if (proc->protect_host_images)
exclusive_setting = L"ProtectHostImages";
if (exclusive_setting) {
Log_Msg_Process(MSG_6004, proc->box->name, exclusive_setting, box->session_id, proc->pid);
// allow the process to run for a sort while to allow the features to be evaluated
Process_ScheduleKill(proc, 5*60*1000); // 5 minutes
}
}
if (!Verify_CertInfo.opt_enc && !proc->image_sbie) {
const WCHAR* exclusive_setting = NULL;
if (proc->confidential_box)
exclusive_setting = L"ConfidentialBox";
if (exclusive_setting) {
Log_Msg_Process(MSG_6009, proc->box->name, exclusive_setting, box->session_id, proc->pid);
Pool_Delete(pool);
Process_CreateTerminated(ProcessId, box->session_id);
return NULL;
}
}
......
}

unlimited_use.png (64.61 KB, 下载次数: 2)
下载附件
unlimited
2025-3-22 21:49 上传
总结
本文利用了SandboxPlus验证逻辑漏洞,通过修改SandboxiePlus用户态程序查询证书信息的结果,实现了无限试用官方正式版高级功能的效果。