Нативная хромятина

[gluk_rip]

Уже довольно длительное время являюсь пользователем Google Chrome и вроде всем этот браузер неплох, но вот сегодня случилось так, что я открыл для себя очень интересную вещь об этом замечательном браузере. Не буду вдаваться в предысторию, а перейду сразу к телу. Сегодня узнал, что хром оказывает инлайнит следующие функции из ntdll.dll:

Comments

[kostez]

я думаю для какого-то мониторинга того, что к компу подключаешь
опять же судя по всему NtQueryFullAttributesFile ловит устройства на прерываниях, и распознаёт либо флэшки, либо диски, но это дверь в дом через соседний чердак. Кто знает, какие там программисты в гугле...

[gluk_rip]

Кстати появилась идея, я в переменных окружения заметил одну интересную вещь, сегодня еще раз проверю и если окажется правдой, то опишу процесс. =)

[a_c_0_u_s_t_i_c]

По-моему у хрома дела идут как надо. Какую версию ты исследовал?

[gluk_rip]

5.0.375.126. вроде как последняя на данный момент.

[a_c_0_u_s_t_i_c]

а у меня 6.0.408.1 =)

[gluk_rip]

Значит надо обновиться. =)

[define_true]

Про то, как устроена песочница гугла, можно почитать здесь: http://www.azimuthsecurity.com/index.html
Там опубликованы 2 статьи 3.

[gluk_rip]

За ссылку на статьи спасибо, почитаю на досуге более внимательно. С самим то принципом работы песочницы я знаком, тут дело немного в другом, мне интересно насколько подход google безопасен в принципе? Ведь если у браузера есть привилегии хучить нативные функции, и при этом антивирусные решения молчат, поскольку процесс, который хучит является легитимным, то что мешает атакующему скомпрометировать систему внедрив в адресное пространство родителя свой поток с потенциально опасным кодом. Либо как вариант, опять таки чисто в теории, что мешает атакующему просто взять и пропатчить chrome.dll, которая и осуществляет хук нативных функций.