<p dir="ltr"><br>
On Jan 21, 2016 9:41 AM, "Sebastian Lackner" <<a href="mailto:sebastian@fds-team.de">sebastian@fds-team.de</a>> wrote:<br>
> ...<br>
> In this case it shouldn't matter (as far as I know NtOpenFile isn't intercepted<br>
> by the Chromium Sandbox), however when thinking more carefully about it, heap<br>
> functions could indeed be problematic. What we theoretically need is two sets of<br>
> them, user mode calls are supposed to go through NtAllocateVirtualMemory, but<br>
> kernel mode calls not. I'll do some more testing myself, so far I haven't found out<br>
> which thunks exactly introduce the randomness in the Chromium sandboxing code.<br>
> ...</p>
<p dir="ltr">Maybe this is being overly simplistic, but we do have both Zw* and Nt* entry points. It could make sense to use Zw* internally and route all the external calls through the thunks (Nt*).</p>
<p dir="ltr">Best,<br>
Erich</p>