¿Sandboxie "agarra" todas las llamadas del sistema?

Como inicio rápido para 10, consulte esta página :

  

El componente del controlador de Sandboxie no pudo completar la inicialización. Este mensaje indica que Sandboxie solicitó al sistema que proporcione notificaciones cuando los procesos (aplicaciones) se inician y se detienen, pero el sistema no pudo atender esta solicitud.

     

En términos técnicos, Sandboxie solicita registrar una rutina de notificación de proceso, y esta solicitud ha fallado.

La llamada en cuestión es PsSetCreateProcessNotifyRoutine

Luego esta página

  

El componente del controlador de Sandboxie no pudo completar la inicialización. Este mensaje indica que Sandboxie no pudo interceptar ni extender algún servicio del sistema.

Entonces, la respuesta es que este paquete está instalando un controlador de nivel de kernel para enganchar las llamadas al sistema, o más bien responder a los eventos del kernel y alterar el resultado. Mi conocimiento de la programación en modo kernel es limitado, pero sospecho que funciones como IoRegisterContainerNotification se puede utilizar para crear enlaces a la actividad de IO y determinar qué permitir y qué bloquear.

Debería recomendarle: este nivel de operación es diferente de un rootkit solo en términos de intención y método de instalación, es decir, está permitiendo que este controlador se instale y confíe. Este software parece completamente inocente, pero debe tener cuidado al decidir instalar o no un software que haga este tipo de cosas, por lo que debe evaluar soluciones como esta con cuidado.

Editar Solo por intereses, ejecuté dumpbin /IMPORTS SbieDrv.sys . Este controlador importa funciones de FLTMGR.SYS , el Microsoft File Filter Manager . También importa, entre muchas otras cosas, PsSetCreateProcessNotifyRoutine de ntoskrnl.exe , el kernel de Windows. Solo para confirmar lo anterior.