这篇文章主要介绍“如何使用wsb-detect检测你是否在Windows沙盒中”,在日常操作中,相信很多人在如何使用wsb-detect检测你是否在Windows沙盒中问题上存在疑惑,小编查阅了各式资料,整理出简单好用的操作方法,希望对大家解答”如何使用wsb-detect检测你是否在Windows沙盒中”的疑惑有所帮助!接下来,请跟着小编一起来学习吧!
wsb-detect可以帮助广大研究人员判断应用程序当前是否在Windows Sandbox(WSB)中运行。众所周知,Windows Defender会使用沙盒来进行动态分析,而且很多安全分析都是需要在沙盒中手动执行的。在2019年底,微软推出了名为Windows Sandbox(简称WSB)的新功能。
Windows Sandbox允许我们在15秒内快速创建一个基于Hyper-V的虚拟机,该虚拟机具有常见虚拟机所具备的所有特性,比如说剪贴板共享和映射目录等。该沙盒也是Microsoft Defender Application Guard(WDAG)的基础,用于在支持Hyper-V的主机上进行动态分析,并且可以在任何Windows 10专业版或企业版计算机上启用。
沙盒的镜像似乎是在2019年12月7日(星期六)上午9:14:52制作的,此时正是Windows sandbox向公众发布的时间。此检查交叉引用mountmgr驱动程序上的创建时间戳。
此方法将检查当前用户名是否为WDAGUtilityUserAccount,即沙盒中默认使用的帐户。
此方法将使用getAdapterAddresses遍历适配器列表,并将DNS后缀与mshome.net进行比对,而后者是沙盒默认使用的。
检查是否可以打开原始设备\\.\GLOBALROOT\device\vmsmb,该设备用于通过SMB与主机通信。
启动时,在HKEY U LOCAL_MACHINE的RunOnce键下搜索一个命令,该命令将密码设置为永不过期。
检查当前根驱动器中的OfficePackagesForWDAG,该驱动器似乎用于Windows Defender Microsoft Office模拟。
检查CExecSvc.exe,这是一个容器执行服务,负责处理大量复杂的事情。
当涉及到沙盒检测时,这是一种更通用的方法,但是从测试来看,Windows在虚拟机中似乎没有被验证为合法的。
另外,通过检查是否可以创建一个名为WindowsSandboxMutex的互斥体,可以在主机上检测沙盒是否正在运行。这样可以限制每一台主机只能运行一个虚拟机,不过我们可以通过复制句柄并调用ReleaseMutex-viola来释放这个互斥体,以此来获取多个虚拟机实例。
广大研究人员可以使用下列命令将该工具源码克隆至本地,随后可以在我们的代码中直接调用:
git clone https://github.com/LloydLabs/wsb-detect.git
detect.h这个头文件可以导出wsb-detect的所有检测功能函数:
#include <stdio.h> #include "detect.h" int main(int argc, char** argv) { // example vmsmb & username check if (wsb_detect_dev() || wsb_detect_username()) { puts("We're in Windows Sandbox!"); return 0; } return 1; }
到此,关于“如何使用wsb-detect检测你是否在Windows沙盒中”的学习就结束了,希望能够解决大家的疑惑。理论与实践的搭配能更好的帮助大家学习,快去试试吧!若想继续学习更多相关知识,请继续关注亿速云网站,小编会继续努力为大家带来更多实用的文章!
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。