Firefox 与普通单进程 EXE 在沙箱中的差异分析firefox.exe和普通单进程 EXE 最大的不同是它不是“启动一个主进程就结束”而是会快速进入一套多进程 自带沙箱 自带 Hook/Trampoline 高频 IPC 通信的运行模型。1. Firefox 会启动多个子进程普通 EXE 通常只有一个主进程app.exeFirefox 启动后通常会出现firefox.exe 主进程 / Browser Process firefox.exe -contentproc 内容进程 firefox.exe --utility Utility 进程 firefox.exe --socket-process 网络 Socket 进程 firefox.exe --gpu-process GPU 进程 crashhelper.exe 崩溃辅助进程 WerFault.exe Windows 崩溃报告进程因此沙箱不只是处理一个firefox.exe还要正确处理它拉起的各类子进程。2. 子进程 Token 处理更敏感Firefox 自身也会对子进程做降权和隔离。Sandboxie 同样会处理进程 Token。两套机制叠加后如果 Token 限制过强可能导致子进程启动失败 子进程启动后无法通信 页面空白 浏览器卡死之前迁移的逻辑就与此有关-sandboxingKind检测到 Firefox Sandbox 子进程后需要对其 Token 做特殊处理。3. Firefox 高度依赖 IPC 通信Firefox 多进程之间会大量使用Named Pipe ALPC / LPC Event EventPair KeyedEvent Timer Section / Shared Memory普通 EXE 可能只使用文件、注册表、少量 Mutex。但 Firefox 会频繁创建和打开这些内核对象。如果 Sandboxie 没有 Hook 或没有放行某些 IPC 对象常见表现是启动卡住 页面空白 输入网址无响应 子进程崩溃 网页无法加载因此需要补充或兼容NtCreateEventPair / NtOpenEventPair NtCreateKeyedEvent / NtOpenKeyedEvent NtCreateTimer / NtOpenTimer NtMapViewOfSection4. 新版 Firefox 有自己的 Hook / Trampoline 机制这是 Firefox 和普通 EXE 最关键的区别之一。普通 EXE 的ntdll!NtXxx入口通常比较标准。但新版 Firefox 内部存在自己的 syscall 拦截层例如g_originals original syscall table trampoline如果 Sandboxie 仍然按照普通ntdllstub 方式 patch就可能 patch 到错误位置。这也是本次迁移以下逻辑的原因Hook_CheckChromeHook findFirefoxTarget g_originals简单说Firefox 已经先包了一层 syscall。 Sandboxie 必须识别这层包装并找到真正应该 Hook 的入口。5. Firefox 会映射特殊的非 Image SectionFirefox 146 之后存在一个特殊点它可能会把某些非 image section映射到子进程中且保护属性可能是PAGE_EXECUTE_READSandboxie 需要将其临时调整为PAGE_EXECUTE_READWRITE这样才能安装 Hook。因此需要补充NtMapViewOfSection NtQuerySection SEC_IMAGE 判断这类情况在普通 EXE 中比较少见。6. Firefox 的崩溃处理链路更复杂普通 EXE 崩溃后通常直接进入Unhandled Exception而 Firefox 可能经过crashhelper.exe WerFault.exe Firefox Crash Reporter所以即使进程崩溃SedeDll的 MiniDump 也不一定会立即生成。因为异常可能已经被 Firefox 自己的崩溃处理链路接管。7. Firefox 网络进程独立Firefox 的网络访问不一定在主进程中完成而可能由独立的 Socket Process 负责。因此主窗口能启动 ≠ 网络功能正常如果 Socket Process 的以下任一环节异常IPC Token Hook Pipe Section都可能表现为窗口能打开 输入网址无响应 网页打不开Chrome / Edge 可以正常联网也不能直接证明 Firefox 没问题。因为它们的进程模型、Hook 结构和 IPC 机制并不完全相同。总结普通 EXE 的模型通常是主进程 常规 Win32 / Nt APIFirefox 的模型则是主进程 多类子进程 自带沙箱 自带 syscall hook / trampoline 高频 IPC 特殊 section 映射 独立崩溃处理链路 独立网络进程所以 Firefox 在 Sandboxie 中运行失败时常见原因往往不是“网络本身”而是子进程 Token 不正确 IPC 对象被拦截 NtMapViewOfSection Hook 不兼容 LowLevel 早期 syscall patch 识别错 Firefox trampoline 崩溃被 crashhelper / WER 接管 Socket Process 启动或通信异常
