Loading [MathJax]/jax/output/CommonHTML/config.js
首页
学习
活动
专区
圈层
工具
发布
首页
学习
活动
专区
圈层
工具
MCP广场
社区首页 >专栏 >使用wsb-detect检测你是否在Windows沙盒中

使用wsb-detect检测你是否在Windows沙盒中

作者头像
FB客服
发布于 2021-01-08 07:47:07
发布于 2021-01-08 07:47:07
1.7K00
代码可运行
举报
文章被收录于专栏:FreeBufFreeBuf
运行总次数:0
代码可运行

wsb-detect概述

wsb-detect可以帮助广大研究人员判断应用程序当前是否在Windows Sandbox(WSB)中运行。众所周知,Windows Defender会使用沙盒来进行动态分析,而且很多安全分析都是需要在沙盒中手动执行的。在2019年底,微软推出了名为Windows Sandbox(简称WSB)的新功能。

Windows Sandbox允许我们在15秒内快速创建一个基于Hyper-V的虚拟机,该虚拟机具有常见虚拟机所具备的所有特性,比如说剪贴板共享和映射目录等。该沙盒也是Microsoft Defender Application Guard(WDAG)的基础,用于在支持Hyper-V的主机上进行动态分析,并且可以在任何Windows 10专业版或企业版计算机上启用。

技术细节

wsb_detect_time

沙盒的镜像似乎是在2019年12月7日(星期六)上午9:14:52制作的,此时正是Windows sandbox向公众发布的时间。此检查交叉引用mountmgr驱动程序上的创建时间戳。

wsb_detect_username

此方法将检查当前用户名是否为WDAGUtilityUserAccount,即沙盒中默认使用的帐户。

wsb_detect_suffix

此方法将使用getAdapterAddresses遍历适配器列表,并将DNS后缀与mshome.net进行比对,而后者是沙盒默认使用的。

wsb_detect_dev

检查是否可以打开原始设备\.\GLOBALROOT\device\vmsmb,该设备用于通过SMB与主机通信。

wsb_detect_cmd

启动时,在HKEY U LOCAL_MACHINE的RunOnce键下搜索一个命令,该命令将密码设置为永不过期。

wsb_detect_office

检查当前根驱动器中的OfficePackagesForWDAG,该驱动器似乎用于Windows Defender Microsoft Office模拟。

wsb_detect_proc

检查CExecSvc.exe,这是一个容器执行服务,负责处理大量复杂的事情。

wsb_detect_genuine

当涉及到沙盒检测时,这是一种更通用的方法,但是从测试来看,Windows在虚拟机中似乎没有被验证为合法的。

其他

另外,通过检查是否可以创建一个名为WindowsSandboxMutex的互斥体,可以在主机上检测沙盒是否正在运行。这样可以限制每一台主机只能运行一个虚拟机,不过我们可以通过复制句柄并调用ReleaseMutex-viola来释放这个互斥体,以此来获取多个虚拟机实例。

wsb-detect下载

广大研究人员可以使用下列命令将该工具源码克隆至本地,随后可以在我们的代码中直接调用:

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
git clone https://github.com/LloydLabs/wsb-detect.git

wsb-detect使用

detect.h这个头文件可以导出wsb-detect的所有检测功能函数:

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
#include <stdio.h>

#include "detect.h"

int main(int argc, char** argv)
{

  // example vmsmb & username check

  if (wsb_detect_dev() || wsb_detect_username())

  {

    puts("We're in Windows Sandbox!");

    return 0;

  }

  return 1;

}

项目地址

wsb-detect:https://github.com/LloydLabs/wsb-detect

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2021-01-03,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 FreeBuf 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
暂无评论
推荐阅读
编辑精选文章
换一批
如何使用Windows Sandbox保持保障自身安全
Windows10(版本1903)中最有趣的一项功能,就是Windows沙盒了。Windows沙盒相当于一个Windows 10虚拟机,它可以快速启动,并帮助我们测试下载下来的软件、浏览器扩展以及可疑网站,而且不会让恶意软件感染我们正常的Windows操作系统。
FB客服
2019/07/29
1.7K0
Windows Server 2019前瞻
十一假期马上就过完了,不知道各位小伙伴玩的怎么样啊,是否有遇到“人在囧途”或者是否看到了处处大海。微软于2018年9月24日-28日在美国召开了Ignite 2018大会,并于10月2日正式发布了Windows Server 2019,这在微软忠实粉丝中可是一件大事,下面笔者就趁着假期间隙来为大家揭开Windows Server 2019的面纱,看看Windows Server 2019为我们带来了哪些激动人心的新功能。
SuperDream
2018/10/06
3.6K0
Windows Server 2019前瞻
微软私有云测试01-Windows Server 2016虚拟化新功能概述
Windows Server 2016从2015年Preview到2016年10月13日发布至今已经过去了3年多的时间,Windows Server 2016 不断秉承微软“移动为先云为先”的战略,为我们带来了很多新的功能,并对其他某些功能做了一些增强。
SuperDream
2019/02/28
6K0
Windows: 使用PowerShell管理Hyper-V虚拟机
Hyper-V是Windows操作系统中强大的虚拟化平台,通过Hyper-V,用户可以创建和管理虚拟机(VM)。作为计算机专业人士,我们可能更倾向于使用命令行工具来高效地管理系统。在Windows上,PowerShell是一个功能强大的命令行工具,可以用来管理Hyper-V虚拟机。本文将详细介绍如何使用PowerShell管理Hyper-V虚拟机,包括创建、配置、启动和监控虚拟机。
运维开发王义杰
2024/06/14
7260
Windows: 使用PowerShell管理Hyper-V虚拟机
运维:Win11家庭版和专业版之间的区别详解
Windows 11操作系统提供了多个的版本(SKU),包括适合家庭用户的家庭版、适合专业人士和企业用户的专业版、为企业环境量身定制的企业版和教育版,以及专为长期稳定运行设计的Windows 11 LTSC版本。一般情况下,电脑内置的操作系统是家庭版或专业版,以适应大多数用户的日常需求。今天给大家全面介绍一下这两个操作系统版本之间的区别,方面大家进行合理的选择。
小明互联网技术分享社区
2024/09/14
1.7K0
运维:Win11家庭版和专业版之间的区别详解
开始 Vagrant 之旅
如果你和我一样,你可能在某一个地方有一个“沙盒”,你可以在那里进行你正在做的任何项目。随着时间的推移,沙盒会变得杂乱无章,充斥着各种想法、工具链元素、你不使用的代码模块,以及其他你不需要的东西。当你完成某件事情时,这会使你的部署变得复杂,因为你可能不确定项目的实际依赖关系 —— 随着时间推移你在沙盒中已经有了一些工具,但是你忘了必须安装它。你需要一个干净的环境,将所有的依赖关系放在一个地方,以便以后更方便。
用户8639654
2021/10/14
6030
想体验.NET7又不想安装体验版,Windows沙盒了解一下
.NET 7.0.0-RC 2 已经发布有一阵子了,想必大家已经看了很多评测,各种试用。心动不如行动,如果你不想再物理机直接安装预览版本的话,除了用虚拟机,也可以用一次性的沙盒呀。
桑榆肖物
2022/11/18
4840
想体验.NET7又不想安装体验版,Windows沙盒了解一下
【01】卓伊凡收到冒充税务机关的诈骗程序-决定在沙盒Sandbox环境中运行测试下-广大企业同胞们注意防诈骗
21日收到一封邮件冒充税务机关的邮箱,但是说来也奇怪,最近刚好和税局老师通过电话说过欠社保清缴的事情,然后就收到这邮箱了,说明这些人在通信上面是肯定搞了鬼的。
卓伊凡
2025/05/22
860
水火交融-Windows上的Linux容器
在上周刚刚过去的微软技术暨生态大会,盆盆分享了有关Azure Stack和容器的话题。其中介绍的一门微软最新的黑科技,获得了大家的广泛兴趣,这就是直接可以在Windows里运行的Linux容器!接下来盆盆就用这篇小文章来聊聊这个技术吧!
盆盆
2019/04/24
2.3K0
水火交融-Windows上的Linux容器
VMware Workstation 在此主机上不支持嵌套虚拟化。模块“MonitorMode”启动失败。未能启动虚拟机。
VMware Workstation 在此主机上不支持嵌套虚拟化。模块“MonitorMode”启动失败。未能启动虚拟机。
宝耶需努力
2022/12/13
7K0
VMware Workstation 在此主机上不支持嵌套虚拟化。模块“MonitorMode”启动失败。未能启动虚拟机。
VMware Workstation 与 Device/Credential Guard 不兼容。在禁用 Device/Credential Guard 后,可以运行 VMware Workstati
VMware Workstation 与 Device/Credential Guard 不兼容。在禁用 Device/Credential Guard 后,可以运行 VMware Workstation。有关更多详细信息,请访问 http://www.vmware.com/go/turnoff_CG_DG。
walterlv
2023/10/22
3.3K0
VMware Workstation 与 Device/Credential Guard 不兼容。在禁用 Device/Credential Guard 后,可以运行 VMware Workstati
如何使用FalconEye实时检测Windows进程注入行为
FalconEye是一款功能强大的Windows终端安全检测工具,可以帮助广大研究人员实时检测Windows进程注入行为。FalconEye也是一个内核模式驱动工具,旨在实现实时的进程注入行为。由于FalconEye需要以内核模式运行,它可以提供一个强大可靠的安全防御机制来抵御那些尝试绕过各种用户模式钩子的进程注入技术。
FB客服
2021/07/29
1.7K0
如何使用FalconEye实时检测Windows进程注入行为
BlackHat USA 2021 洞察(二):议题技术解读
发现看议题材料也不容易啊,有些议题挺有技术深度的,而且内容还特长,长就算了,有些ppt其实只讲了不到一半的内容,另一半都得靠作者演讲才能知道,剩下的只能靠自己脑补或搜索资料了,我只能说真的费脑费时间。
泉哥
2021/08/20
9470
规避检测(共五章):第五章
沙盒模拟通常持续很短的时间,因为沙盒加载了数千个样本。仿真 时间很少超过3-5分钟。因此,恶意软件可以利用这一事实来避免检测:它可能会执行 在开始任何恶意活动之前长时间延迟。
Creaper
2023/11/20
4450
规避检测(共五章):第五章
如何优雅地使用 Docker
很久很久以前,就曾经尝试过使用 Docker 。但是由于没有足够的动力学习,导致多次半途而废(就像学 vim 一样)。 终于,在想要使用 gitbook 转换开源书籍时,被放弃维护的 gitbook-cli 给教育了。因此重燃起学习 Docker 的动力。
OhYee
2020/10/30
3.2K0
如何优雅地使用 Docker
Windows-Server-2019基础知识与配置
Windows Server 2019 Standard 和 Datacenter 版本的区别
全栈工程师修炼指南
2020/10/26
4.9K0
Windows-Server-2019基础知识与配置
干货分享-Win2019上的Linux容器和Azure Stack上的K8
要参加微信课堂以及日常技术交流,请给我们发微信(微信号:markpah),请注明加入以下哪个群:
盆盆
2019/03/05
1.5K0
干货分享-Win2019上的Linux容器和Azure Stack上的K8
sandbox | Electron 安全
大家好,今天跟大家讨论的内容是 sandbox, sandbox 是一项 Chromium 的功能,它使用操作系统来显著地限制渲染器进程可以访问的内容,在 Electron 中,限制的方面还要包括 Node.js 能力
意大利的猫
2024/05/08
4350
sandbox | Electron 安全
如何启用Windows 10客户端Hyper-V
微软从 Windows 8 开始提供客户端 Hyper-V 虚拟化支持,而 Windows 10 当然也是支持滴。而在之前,Hyper-V 虚拟化只被用于 Windows Server 端,怕是为了与 VMware 火拼所以才开始在客户端进行支持的吧。客户端 Hyper-V 同样可以让我们在同一主机上虚拟并运行多个客户机操作系统,这使得 IT Pro 可以非常容易地维护多个测试环境,并轻松在这些环境之间进行快速切换。 微软从 Windows 8.1 开始对客户端 Hyper-V 提供了增强会话模式,使得
逸鹏
2018/04/09
4.1K0
如何启用Windows 10客户端Hyper-V
win10隐藏的9种功能-效率提升10倍
在装好win10系统后,大都会问需要做什么设置才会使得系统更好用,一般情况下大家都会进行启动项的设置、关闭不必要的服务、关闭界面特效等等。那么除此之外还有什么办法让我们的系统更好用吗?那么,接下来要跟大家分享的是Windows 10的9种模式,要知道,同样是一台搭载 Windows 10的电脑,使用不同的模式,也会有截然不同的使用体验!
零式的天空
2022/03/28
1.5K0
win10隐藏的9种功能-效率提升10倍
推荐阅读
相关推荐
如何使用Windows Sandbox保持保障自身安全
更多 >
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档
本文部分代码块支持一键运行,欢迎体验
本文部分代码块支持一键运行,欢迎体验