Kang IT
Wsb-Detect - Alat Untuk Mendeteksi Jika Anda Menjalankan Di Windows Sandbox ("WSB")
wsb-detect memungkinkan Anda mendeteksi jika Anda menjalankan Windows Sandbox ("WSB"). Kotak pasir digunakan oleh Windows Defender untuk analisis dinamis, dan biasanya secara manual oleh analis keamanan dan sejenisnya. Pada akhir tahun 2019, Microsoft memperkenalkan fitur baru bernama Windows Sandbox (disingkat WSB). Teknik yang digunakan untuk sidik jari WSB diuraikan di bawah ini, di bagian teknik. Jangan ragu untuk mengirimkan permintaan penarikan jika Anda memiliki ide sidik jari . Saya telah mengotak-atiknya sekarang dan nanti, saya akan memiliki lebih banyak tentang Windows Sandbox segera.
Windows Sandbox memungkinkan Anda dengan cepat, dalam waktu 15 detik, membuat Mesin Virtual berbasis Hyper-V sekali pakai dengan semua kualitas yang dimiliki VM yang sudah dikenal seperti berbagi papan klip, direktori pemetaan, dll. Sandbox juga merupakan dasar untuk Penjaga Aplikasi Pertahanan Microsoft ( WDAG), untuk analisis dinamis pada host yang mendukung Hyper-V dan dapat diaktifkan pada mesin Windows 10 Pro atau Enterprise apa pun. Ini tidak terlalu menarik, tapi tetap bisa berguna dalam pengembangan implan. Terima kasih kepada teman saya Jonas L untuk panduannya ketika saya menjelajahi bagian dalam kotak pasir (lebih lanjut tentang ini).
Pemakaian
The detect.hHeader ekspor semua fungsi yang dapat dikombinasikan untuk mendeteksi jika
#include <stdio.h>
#include "detect.h"
int main(int argc, char** argv)
{
// example vmsmb & username check
if (wsb_detect_dev() || wsb_detect_username())
{
puts("We're in Windows Sandbox!");
return 0;
}
return 1;
}
Teknikwsb_detect_time
Gambar untuk kotak pasir tampaknya sudah terpasang Saturday, December 7, 2019, 9:14:52 AM- ini terjadi pada waktu Windows Sandbox dirilis ke publik. Pemeriksaan silang ini mereferensikan cap waktu pembuatan pada mountmgrdriver.
wsb_detect_username
Metode ini akan memeriksa apakah nama pengguna saat ini WDAGUtilityUserAccount, akun yang digunakan secara default di kotak pasir.
wsb_detect_suffix
Metode ini akan menggunakan GetAdaptersAddresses, memeriksa daftar adaptor, dan membandingkan akhiran DNS dengan mshome.net- yang digunakan secara default di kotak pasir.
wsb_detect_dev
Memeriksa apakah perangkat mentah \\.\GLOBALROOT\device\vmsmbdapat dibuka, yang digunakan untuk komunikasi dengan host melalui SMB.
wsb_detect_cmd
Saat memulai, cari di bawah RunOncekunci HKEY_LOCAL_MACHINEuntuk perintah yang menetapkan kata sandi tidak pernah kedaluwarsa.
wsb_detect_office
Memeriksa OfficePackagesForWDAGdrive root saat ini, yang tampaknya digunakan untuk emulasi Microsoft Office Windows Defender.
wsb_detect_proc
Pemeriksaan CExecSvc.exe, yang merupakan layanan eksekusi kontainer, menangani banyak pengangkatan berat.
wsb_detect_genuine
Metode yang lebih umum dalam hal deteksi kotak pasir, namun dari pengujian, Windows tampaknya tidak diverifikasi sebagai sah di VM.
Trivia
Jika Anda ingin menghubungi saya lebih cepat, silakan hubungi saya di Twitter atau email . Selain itu, mungkin pada host untuk mendeteksi jika kotak pasir sedang berjalan, dengan memeriksa apakah Anda dapat membuat mutex bernama WindowsSandboxMutex. Ini membatasi kotak pasir ke satu mesin virtual per host, namun, Anda dapat melepaskan mutex ini hanya dengan menduplikasi pegangan dan memanggil ReleaseMutex- viola, Anda dapat memiliki banyak instance.
Regards
dr. Muhammad Sobri Maulana, S.Kom
No comments:
Post a Comment