月度關注熱點

免費獲得System Safety Monitor v2.x 終身授權!
微軟的影子系統
Malware Defender 1.2.3 正式版發佈
虛擬機軟體的serial number 在哪申請??
反饋就能得到Application Blocker一年KEY
有人能提供我ThreatFire 4.0規則嗎...
GeSWall 2.8 Release
Zemana AntiLogger 1.6.2.890 released
DefenseWall HIPS pre-2.46

最新更新主題

Zemana AntiLogger 1.6.2.890 released
GeSWall 2.8 Release
DefenseWall HIPS pre-2.46
有人能提供我ThreatFire 4.0規則嗎...
免費獲得System Safety Monitor v2.x 終身授權!
虛擬機軟體的serial number 在哪申請??
Malware Defender 1.2.3 正式版發佈
微軟的影子系統
反饋就能得到Application Blocker一年KEY
東南亞支持Threatfire、俄國愛用Comodo Firewall?

SandBox 是否真的安全?

發表時間: 2008-1-01 16:42    作者: domino    來源: AVPClub Security Home

字體: | 打印

sandbox 真的安全嗎? 看見許多人都這樣相信sandbox..

無聊寫的一個小程式! 幾行代碼!

這程式安全! 只是模擬釋放而已..

大家可以 使用sandbox 和 不使用sandbox ~正常再系統執行時! 看兩者差異..

相信大家使用sandbox測試自己所下載的軟體是否安全...

這沒有什麼技巧...只是思考的方向而已..如果被惡意程式運用...高手見笑了..CC


下次展示:  隨身碟免疫程式 是否真的免疫

[ 本帖最後由 domino 於 2008-1-1 16:51 編輯 ]

Box.zip
(2008-01-01 16:42:28, Size: 6.51 kB, Downloads: 12)


我也來說兩句 查看全部評論 相關評論

  • 蛋頭 (2008-1-01 16:44:54)

    這道理因該就跟 徵測虛擬機 的道理一樣

    如果程式是在虛擬機下執行,就裝死 不生成病毒檔,讓別人以為這是一個安全檔案

    就會放到 實體系統底下執行,後果就......

  • kuririn (2008-1-01 17:42:15)

    呵呵 病毒被 svs 騙了 跑出來送死了



    eq sandbox 病毒沒被騙出來送死

  • domino (2008-1-01 17:48:36)

    這測試只用於Sandboxie..

    不過只要改一下應該就能Pass

    [ 本帖最後由 domino 於 2008-1-1 17:53 編輯 ]

  • kuririn (2008-1-01 17:52:54)

    我知道啊

    所以我才用 svs 來比較啊

    因為 svs 不只 redirect

    eq sandbox and sandboxie 只有 redirect 而已

  • andy (2008-1-01 17:58:38)

    DW 都騙得出來吧

  • kuririn (2008-1-01 18:01:53)

    QUOTE:

    原帖由 andy 於 2008-1-1 17:58 發表
    DW 都騙得出來吧
    什麼跟什麼

    DW 不是虛擬的

  • domino (2008-1-01 18:04:32)

    QUOTE:

    原帖由 andy 於 2008-1-1 17:58 發表
    DW 都騙得出來吧
    你拿DW 測試? 這是測試Sandboxie..而且兩個是不同性質東西..

  • domino (2008-1-01 18:29:41)

    eq 有出 sandbox ?

    正所謂sandbox是指調試時..可以與原始系統做安全隔離.並且不會引響到系統底層!.

    而 EQ應該算是 HIPS 行為分析軟體...也就是常見的HIPS..攔截鉤子.
    (修改後是無法恢復的.)

    掃毒軟體的
    主動防禦也算是HIPS
    而虛擬機技術就像sandbox

    [ 本帖最後由 domino 於 2008-1-1 18:37 編輯 ]

  • andy (2008-1-01 18:58:17)

    QUOTE:

    原帖由 domino 於 2008-1-1 18:04 發表


    你拿DW 測試? 這是測試Sandboxie..而且兩個是不同性質東西..
    順手而已

  • domino (2008-1-01 18:59:48)

    還有個更下流的方法

    修復"某東西"....EQ 就等於不存在了! 幾乎和鉤子有關的行為分析軟體都會失效..
    相信有人應該知道.. 知道的就別提了...

    這種技術 在 07 年底 有個惡意程式就這樣做!! 08 年可能會更多類似出現.

    [ 本帖最後由 domino 於 2008-1-1 19:04 編輯 ]

  • kuririn (2008-1-01 19:06:22)

    你是想說修復 ssdt 吧

  • Roger (2008-1-01 19:06:48)

    我不知道

    請給詳細解說

    謝謝!

  • Roger (2008-1-01 19:07:58)

    是這個  

    防住三件事情就夠了

  • domino (2008-1-01 19:50:09)

    QUOTE:

    原帖由 kuririn 於 2008-1-1 19:06 發表
    你是想說修復 ssdt 吧
    你答對了!

  • domino (2008-1-01 20:02:14)

    ssdt  記得以前有個殼也針對殺軟 也是利用這個

  • asusp4b533 (2008-1-01 20:13:11)

    SSDT對EQSecure來說應改是個小case吧
    這麼危險的動作不可能不妨

    而且要改變SSDT應該要載入驅動吧

  • Roger (2008-1-01 20:40:10)

    原來是這樣,

    其實,在這一區,我的標題有寫debug或memory 的,

    是恢復 ssdt 的病毒

  • domino (2008-1-01 20:41:37)

    通過對目前系統的SSDT表進行搜索,接著再搜索系統原來的使用的SSDT表,然後用以前的覆蓋現在的SSDT表。木馬程式則又可以按照正常的順序來執行,這樣就最終讓主動防禦功能徹底的失效

    而所有掃毒軟體的主動防禦功能都是通過修改SSDT表,讓惡意程式不能按照正常的情況來執行,這樣就可以輕易的對惡意程式進行攔截。

    讓木馬走一遍,再開HIPS,看怎麼樣?
    更何況沒人會一直把這類軟件開著..判斷條件給予該有的修改動作! 不然就裝死CC

  • kuririn (2008-1-01 20:55:28)

    樓主的程序是只針對 sandboxie

    還是所有虛擬類的 sandbox

  • domino (2008-1-01 21:03:32)

    only sandboxie

    本來想修改標題..覺得打那樣太廣了..
    不過已經超過10 分鐘了..

    請問這位Roger 是大砲那位嗎?

    [ 本帖最後由 domino 於 2008-1-1 21:05 編輯 ]
查看全部評論我也來說兩句