应用程序虚拟化是如何实现的？

Question

我试图了解 App-V 和 sandboxie (App-V 等软件="http://www.sandboxie.com/" rel="noreferrer">http://www.sandboxie.com/) 工作。但就我的一生而言，我想不出有什么可以让这一切成为可能。他们如何拦截 API 调用并欺骗目标软件？如果有人说这只是魔法和仙尘，我会相信他们。说真的，有没有讨论这个问题解决方案的白皮书？

如果这在 CLR 级别上是可能的，那就太好了，但如果必须的话，我愿意采用本地化。

Answer 1

Sandboxie 本质上是通过将代码注入核心 Windows API 来实现的，就像病毒一样（这就是为什么 Vista x64 阻止这种行为，以及 Sandboxie 不能在该操作系统上工作的原因）。

这里是一个解释 API 挂钩的项目。我通过研究 Metamod:Source 的源代码（用于 CounterStrike 的 SourceMod）了解了这一切是如何工作的：来源 ：） ）

Answer 2

我不知道MS是如何做到的，但这是一种方法的基本理论......

你想要做的是挂钩到系统调用（类似于链接到中断）。

1. 发生系统调用。
2. 您的自定义拦截将被执行。
3. 如果该系统调用不需要特殊处理，则继续。否则需要特殊处理并转到步骤 4。
4. 从堆栈中获取堆栈指针、指令指针和所有这些爵士乐，并构建一个新的堆栈帧以将您发送回用户态中的自定义代码。
5. 对用户空间中的数据、路径和内容进行处理。这样，如果底层操作系统发生变化，则不必[频繁]更新此代码。
6. 所有数据处理完毕后，再次执行系统调用。
7. 您的自定义中断将再次执行，但它应该检测到您正在从用户态帮助器层进行调用，并将该调用传递出去。可能需要一些堆栈帧操作来设置正确的返回地址。
8. 常规系统调用执行。
9. 当系统调用返回时，堆栈帧应该将您带回常规程序流程。

希望这有帮助。

Answer 3

查看 X86 虚拟化 上的维基百科页面，其中讨论了软件虚拟化 （早期的 VMWare、Wine、Sandboxie 以及一定程度上的 App-V）和更现代的硬件虚拟化（Hyper-V、VMWare 等）。

我假设您正在专门寻找软件虚拟化，因为通过使用 .NET（或任何 CLR），您已经在一定程度上将自己从 CPU 架构中抽象出来，尤其是使用“AnyCPU”目标。