Loading [MathJax]/jax/output/CommonHTML/config.js
首页
学习
活动
专区
圈层
工具
发布
首页
学习
活动
专区
圈层
工具
MCP广场
社区首页 >专栏 >使用wsb-detect检测你是否在Windows沙盒中

使用wsb-detect检测你是否在Windows沙盒中

作者头像
FB客服
发布于 2021-01-08 07:47:07
发布于 2021-01-08 07:47:07
1.7K00
代码可运行
举报
文章被收录于专栏:FreeBufFreeBuf
运行总次数:0
代码可运行

wsb-detect概述

wsb-detect可以帮助广大研究人员判断应用程序当前是否在Windows Sandbox(WSB)中运行。众所周知,Windows Defender会使用沙盒来进行动态分析,而且很多安全分析都是需要在沙盒中手动执行的。在2019年底,微软推出了名为Windows Sandbox(简称WSB)的新功能。

Windows Sandbox允许我们在15秒内快速创建一个基于Hyper-V的虚拟机,该虚拟机具有常见虚拟机所具备的所有特性,比如说剪贴板共享和映射目录等。该沙盒也是Microsoft Defender Application Guard(WDAG)的基础,用于在支持Hyper-V的主机上进行动态分析,并且可以在任何Windows 10专业版或企业版计算机上启用。

技术细节

wsb_detect_time

沙盒的镜像似乎是在2019年12月7日(星期六)上午9:14:52制作的,此时正是Windows sandbox向公众发布的时间。此检查交叉引用mountmgr驱动程序上的创建时间戳。

wsb_detect_username

此方法将检查当前用户名是否为WDAGUtilityUserAccount,即沙盒中默认使用的帐户。

wsb_detect_suffix

此方法将使用getAdapterAddresses遍历适配器列表,并将DNS后缀与mshome.net进行比对,而后者是沙盒默认使用的。

wsb_detect_dev

检查是否可以打开原始设备\.\GLOBALROOT\device\vmsmb,该设备用于通过SMB与主机通信。

wsb_detect_cmd

启动时,在HKEY U LOCAL_MACHINE的RunOnce键下搜索一个命令,该命令将密码设置为永不过期。

wsb_detect_office

检查当前根驱动器中的OfficePackagesForWDAG,该驱动器似乎用于Windows Defender Microsoft Office模拟。

wsb_detect_proc

检查CExecSvc.exe,这是一个容器执行服务,负责处理大量复杂的事情。

wsb_detect_genuine

当涉及到沙盒检测时,这是一种更通用的方法,但是从测试来看,Windows在虚拟机中似乎没有被验证为合法的。

其他

另外,通过检查是否可以创建一个名为WindowsSandboxMutex的互斥体,可以在主机上检测沙盒是否正在运行。这样可以限制每一台主机只能运行一个虚拟机,不过我们可以通过复制句柄并调用ReleaseMutex-viola来释放这个互斥体,以此来获取多个虚拟机实例。

wsb-detect下载

广大研究人员可以使用下列命令将该工具源码克隆至本地,随后可以在我们的代码中直接调用:

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
git clone https://github.com/LloydLabs/wsb-detect.git

wsb-detect使用

detect.h这个头文件可以导出wsb-detect的所有检测功能函数:

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
#include <stdio.h>

#include "detect.h"

int main(int argc, char** argv)
{

  // example vmsmb & username check

  if (wsb_detect_dev() || wsb_detect_username())

  {

    puts("We're in Windows Sandbox!");

    return 0;

  }

  return 1;

}

项目地址

wsb-detect:https://github.com/LloydLabs/wsb-detect

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2021-01-03,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 FreeBuf 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
暂无评论
推荐阅读
编辑精选文章
换一批
EasyGBS如何进行内网映射两个公网?
EasyGBS支持设备/平台通过国标GB28181协议注册接入,并能实现视频的实时监控直播、录像、检索与回看、语音对讲、云存储、告警、平台级联等功能。平台部署简单、可拓展性强,支持将接入的视频流进行全终端、全平台分发,分发的视频流包括RTSP、RTMP、FLV、HLS、WebRTC等格式。
TSINGSEE青犀视频
2023/05/19
3400
EasyCVR通过Ehome协议接入设备,获取RTSP流地址异常如何解决?
EasyCVR平台支持海量视频设备接入、视频汇聚与管理、转码与分发、告警上报、平台级联、智能分析等等。平台支持广泛的协议类型接入,包括国标GB28181、RTMP、RTSP/Onvif、海康SDK、大华SDK、Ehome等,并能支持对外分发多格式的视频流,如RTSP、RTMP、FLV、HLS、WebRTC等,实现全终端、全平台覆盖。
TSINGSEE青犀视频
2022/08/15
6420
视频融合平台EasyCVR级联小众平台,需要注意什么?
EasyCVR具备强大的视频接入、汇聚与管理、视频分发等视频能力,可实现的视频功能包括:视频监控直播、云端录像、云存储、录像检索与回看、智能告警、平台级联、服务器集群、智能分析等。其中,平台级联功能可支持上下级平台通过国标GB28181协议进行互联,实现数据的互通共享、共用,打破各独立系统之间的数据孤岛现象,协助用户构建互联互通、开放共享的视频大数据平台。
TSINGSEE青犀视频
2022/10/13
6980
设备通过国标GB28181/Ehome接入EasyCVR,视频无法打开的原因分析及解决
EasyCVR平台支持多类型设备、多协议方式接入,包括市场主流标准协议国标GB/T28181、RTMP、RTSP/Onvif协议等,以及厂家私有协议,如海康SDK、大华SDK、海康Ehome等。平台可将接入的流媒体进行处理及分发,分发的视频格式包括RTSP、RTMP、FLV、HLS、WebRTC等。
TSINGSEE青犀视频
2022/09/01
7780
海康4200平台与EasyGBS级联后不能播放的排查及解决方法
国标视频云服务EasyGBS支持设备/平台通过国标GB28181协议注册接入,并能实现视频的实时监控直播、录像、检索与回看、语音对讲、云存储、告警、平台级联等功能。平台部署简单、可拓展性强,支持将接入的视频流进行全终端、全平台分发,分发的视频流包括RTSP、RTMP、FLV、HLS、WebRTC等格式。
TSINGSEE青犀视频
2023/03/20
5570
EasyCVR平台出现WebRTC协议视频播放不了是什么原因?
EasyCVR部署简单、兼容性高,平台采用分布式部署,可对外提供统一的API接口,实现连接设备、连接数据、连接应用,便于第三方平台快速集成。在视频接入与输出上,平台支持设备通过国标GB28181、RTMP、RTSP/Onvif、海康SDK、大华SDK、Ehome等协议接入,对外可分发RTSP、RTMP、FLV、HLS、WebRTC等格式的视频流。
TSINGSEE青犀视频
2022/07/04
5150
设备接入EasyGBS平台后请求实时流播放,出现超时是什么原因?
EasyGBS是基于公安部推出的安防主流协议(国标GB28181协议)的视频接入、处理及分发平台,具有视频直播监控、云端录像、云存储、检索回放、智能告警、语音对讲等功能,能够涵盖所有监控领域的视频能力需求,已经在大量的项目中落地应用,如明厨亮灶、平安乡村、雪亮工程等。
TSINGSEE青犀视频
2022/06/02
4240
国标GB28181监控设备接入EasyCVR如何正确获取RTMP与RTSP视频流
安防视频监控平台EasyCVR可拓展性强、视频能力灵活、部署轻快,可支持的主流标准协议有国标GB28181、RTSP/Onvif、RTMP等,以及支持厂家私有协议与SDK接入,包括海康Ehome、海大宇等设备的SDK等。平台既具备传统安防视频监控的能力,比如:视频监控直播、云端录像、云存储、录像检索与回看、智能告警、平台级联、云台控制、语音对讲等,也具备接入AI智能分析的能力。
TSINGSEE青犀视频
2023/07/25
3770
EasyGBS新版本使用https访问,不能播放视频是什么原因?
国标视频云服务EasyGBS支持设备/平台通过国标GB28181协议注册接入,并能实现视频的实时监控直播、录像、检索与回看、语音对讲、云存储、告警、平台级联等功能。平台部署简单、可拓展性强,支持将接入的视频流进行全终端、全平台分发,分发的视频流包括RTSP、RTMP、FLV、HLS、WebRTC等格式。
TSINGSEE青犀视频
2022/08/29
2950
EasyCVR国标协议接入设备,设备在线、通道却不在线的原因是什么?
EasyCVR支持多协议、多类型设备接入,包括国标GB28181、RTMP、RTSP/Onvif、海康SDK、大华SDK、海康Ehome等,属于融合性、综合性较强的视频平台。在接入类型上,GB28181协议与海康EHOME协议均属于主动注册的设备协议,用户可在平台页面的配置中心里,根据SIP信息来配置设备。
TSINGSEE青犀视频
2022/07/13
7070
EasyCVR与EasyCVR通过国标级联视频无法播放:暂不支持TCP协议
互联网等新兴技术的发展,推动着安防行业向集成化、高清化、智能化、网格化方向升级。EasyCVR平台综合性强、视频能力丰富,平台基于云边端一体化管理,具有强大的数据接入、处理及分发能力,兼容性强、开放度高,功能可灵活拓展。在视频能力上,EasyCVR可支持视频实时监控直播、云端录像、云存储、回放与检索、智能告警、视频快照、设备/用户权限管理、平台级联等,能应用在多种场景中,如智慧工地、智慧工厂、智慧校园、智慧社区、智慧楼宇等等。
TSINGSEE青犀视频
2022/05/26
3610
EasyCVR国标协议接入的通道,在线通道部分播放异常是什么原因?
EasyCVR平台支持多协议、多类型的设备接入,拥有灵活丰富的视频能力,可实现的功能包括视频实时监控直播、云端录像、云存储、回放与检索、智能告警、视频快照、视频转码与分发、平台级联等。平台支持设备通过国标GB28181、RTMP、RTSP/Onvif、海康SDK、大华SDK、Ehome等协议接入,对外可分发RTSP、RTMP、FLV、HLS、WebRTC等格式的视频流。
TSINGSEE青犀视频
2022/06/24
3500
EasyCVR级联接入后,上级平台不发送ACK消息如何解决?
EasyCVR视频融合云服务平台可支持的协议十分广泛,包括主流标准协议国标GB28181、RTSP/Onvif、RTMP等,以及厂家私有协议与SDK接入,包括海康Ehome、海康SDK、大华SDK等,更多私有协议及SDK也在持续拓展中。平台兼容性强、开放度高,具有强大的数据接入、处理及分发能力,目前已经应用在智慧工地、智慧校园、智慧社区、智慧楼宇、智慧安防等场景中。
TSINGSEE青犀视频
2022/06/15
5830
国标GB28181安防视频平台EasyGBS显示状态正常,却无法播放该如何解决?
国标GB28181视频平台EasyGBS是基于国标GB/T28181协议的行业内安防视频流媒体能力平台,可实现的视频功能包括:实时监控直播、录像、检索与回看、语音对讲、云存储、告警、平台级联等功能。国标GB28181视频监控平台部署简单、可拓展性强,支持将接入的视频流进行全终端、全平台分发,分发的视频流包括RTSP、RTMP、FLV、HLS、WebRTC等格式。
TSINGSEE青犀视频
2023/08/21
3170
EasyCVR视频融合平台设备接入的步骤及端口配置的相关注意事项
EasyCVR视频融合平台基于云边端架构,能实现视频汇聚与集中管理、视频多端分发、多屏展示。平台可支持多协议与多类型设备接入,具体包括国标GB28181、RTMP、RTSP/Onvif、海康Ehome、海康SDK、大华SDK、宇视SDK等,能对外分发RTMP、RTSP、HTTP-FLV、WS-FLV、HLS、WebRTC等。今天来给大家详细介绍下EasyCVR视频融合云平台的设备接入步骤。
TSINGSEE青犀视频
2023/05/11
8600
EasyCVR新版本(v2.5.0)无法播放WebRTC视频,其他格式均正常播放,是什么原因?
EasyCVR平台基于云边端一体化管理,支持多协议、多类型的视频设备接入,对外可分发RTSP、RTMP、FLV、HLS、WebRTC等格式的视频流。在视频功能上,可提供服务器集群、视频监控直播、云端录像、云存储、录像检索与回看、智能告警、平台级联、智能分析等服务。
TSINGSEE青犀视频
2022/08/11
3490
EasyCVR平台如何实现国标GB28181级联播放Ehome接入的设备录像?
EasyCVR视频融合平台基于云边端智能协同架构,具有强大的数据接入、处理及分发能力,平台支持海量视频汇聚管理、全网分发、按需调阅、鉴权播放、智能分析等视频能力与服务,可支持的协议有:主流标准协议国标GB28181、RTSP/Onvif、RTMP等,以及厂家私有协议与SDK接入,包括海康Ehome、海大宇等设备的SDK等。
TSINGSEE青犀视频
2023/07/11
2700
通过SDK接入EasyCVR平台,设备录像文件出现播放异常的原因排查与解决
EasyCVR视频融合平台基于云边端一体化架构,部署轻快、功能灵活,平台可支持多协议、多类型设备接入,包括:国标GB28181、RTMP、RTSP/Onvif、海康Ehome、海康SDK、大华SDK、宇视SDK等。平台可实现视频直播、录像、回放、检索、云存储、告警上报、语音对讲、电子地图、集群、智能分析以及平台级联等视频能力与服务。
TSINGSEE青犀视频
2023/04/26
3980
EasyCVR接入国标设备后视频直播正常,设备录像无法播放是什么原因?
EasyCVR基于云边端协同,具有强大的数据接入、处理及分发能力,平台可支持海量视频的轻量化接入与汇聚管理,可提供视频监控直播、视频轮播、视频录像、云存储、回放与检索、智能告警、服务器集群、语音对讲、云台控制、电子地图、平台级联等功能。在录像功能上,平台支持云端录像、设备录像,并能支持检索与回放。
TSINGSEE青犀视频
2023/06/07
2860
EasyNVR平台级联到EasyCVR,视频播放一会就无法播放是什么原因?
TSINGSEE青犀视频的平台(EasyGBS/EasyNVR/EasyCVR)可支持级联功能,平台可通过国标GB28181协议向上级平台级联,也可作为上级平台,让下级平台通过国标GB28181协议级联。级联功能在安防等场景应用中,具有非常重要的意义,它可以实现数据的互联共享、灵活调度,打破系统的数据孤岛,让信息得到高效的交互。
TSINGSEE青犀视频
2022/08/01
2800
推荐阅读
EasyGBS如何进行内网映射两个公网?
3400
EasyCVR通过Ehome协议接入设备,获取RTSP流地址异常如何解决?
6420
视频融合平台EasyCVR级联小众平台,需要注意什么?
6980
设备通过国标GB28181/Ehome接入EasyCVR,视频无法打开的原因分析及解决
7780
海康4200平台与EasyGBS级联后不能播放的排查及解决方法
5570
EasyCVR平台出现WebRTC协议视频播放不了是什么原因?
5150
设备接入EasyGBS平台后请求实时流播放,出现超时是什么原因?
4240
国标GB28181监控设备接入EasyCVR如何正确获取RTMP与RTSP视频流
3770
EasyGBS新版本使用https访问,不能播放视频是什么原因?
2950
EasyCVR国标协议接入设备,设备在线、通道却不在线的原因是什么?
7070
EasyCVR与EasyCVR通过国标级联视频无法播放:暂不支持TCP协议
3610
EasyCVR国标协议接入的通道,在线通道部分播放异常是什么原因?
3500
EasyCVR级联接入后,上级平台不发送ACK消息如何解决?
5830
国标GB28181安防视频平台EasyGBS显示状态正常,却无法播放该如何解决?
3170
EasyCVR视频融合平台设备接入的步骤及端口配置的相关注意事项
8600
EasyCVR新版本(v2.5.0)无法播放WebRTC视频,其他格式均正常播放,是什么原因?
3490
EasyCVR平台如何实现国标GB28181级联播放Ehome接入的设备录像?
2700
通过SDK接入EasyCVR平台,设备录像文件出现播放异常的原因排查与解决
3980
EasyCVR接入国标设备后视频直播正常,设备录像无法播放是什么原因?
2860
EasyNVR平台级联到EasyCVR,视频播放一会就无法播放是什么原因?
2800
相关推荐
EasyGBS如何进行内网映射两个公网?
更多 >
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档
本文部分代码块支持一键运行,欢迎体验
本文部分代码块支持一键运行,欢迎体验