Sandboxie "cattura" tutte le chiamate di sistema?

Come antipasto veloce per 10, vedi questa pagina :

The driver component of Sandboxie could not complete initialization. This message indicates that Sandboxie asked the system to provide notifications when processes (applications) start and stop, but the system was not able to accomodate this request.

In technical terms, Sandboxie is asking to register a process notification routine, and this request has failed.

La chiamata in questione è PsSetCreateProcessNotifyRoutine

Quindi questa pagina

The driver component of Sandboxie could not complete initialization. This message indicates that Sandboxie could not intercept and extend some system service.

Quindi la risposta è che questo pacchetto sta installando un driver a livello di kernel per agganciare le chiamate di sistema, o piuttosto risponde agli eventi del kernel e altera il risultato. La mia conoscenza della programmazione in modalità kernel è limitata, ma sospetto funzioni come IoRegisterContainerNotification può essere utilizzato per creare hook in attività IO e determinare cosa consentire e cosa bloccare.

Dovrei consigliarti - questo livello di operazione è diverso da un rootkit solo in termini di intento e metodo di installazione, cioè che stai consensualmente lasciando che questo driver sia installato e di cui ti fidi. Questo software sembra del tutto innocente, ma dovresti fare attenzione quando decidi se installare o meno un software che fa questo genere di cose, quindi valuta attentamente le soluzioni come questa.

Modifica Solo per motivi di interesse, ho eseguito dumpbin /IMPORTS SbieDrv.sys . Questo driver importa le funzioni da FLTMGR.SYS , il gestore filtro file Microsoft . Importa anche tra molte altre cose PsSetCreateProcessNotifyRoutine da ntoskrnl.exe , il kernel di Windows. Giusto per confermare quanto sopra.