★★★★V6“完全虚拟化”的不安全性初探+v6之BB的特别注意（更新：结论篇）★★★★

显示全部楼层 · 发表于 2012-12-25 16:49:41

本帖最后由 darkwolf_99 于 2012-12-26 17:21 编辑

再次更新——结论篇

见57L

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

更新，v5没有vbs的拦截bug，样本的vbs正常拦截com接口

v6里，手动双击样本产生的vbs，可以拦截com接口；但，样本运行里，不能拦截

这个bug存在于，v6 BB的partialy limited和Limited级别

================================================

样本来自样本区的新QQ粘虫，http://bbs.kafan.cn/thread-1434597-1-1.html

此样本比较详细的行为见，http://bbs.kafan.cn/thread-1434638-1-1.html

注：此样本毛豆已经入库，此贴只针对v6主防

测试环境：win7x64

纯手动和BB的“partialy Limited","Limited"都无法拦截样本“结束”或“隐藏”QQ的桌面窗口；“Restricted”可以，但无日志，不清楚拦截了哪里

下面针对“完全虚拟化”一级，

整个测试只有一个弹窗，IE的联网弹窗

明白的都清楚，这个对于IE来说属于正常联网。之所以我这里会有弹窗，因为关闭了云检测、信任签名程序、且防火墙规则里无IE的联网规则。云检测肯定在线检测IE为安全程序，自动放行这个联网。所以，一般情况下，一个弹窗都不会有，QQ号和密码就都发送出去了

补充1：“partialy Limited","Limited"下的关键弹窗，都不拦vbs利用com口创建IE进程，阻止了以下这个弹窗，当然就ok了；如果放行了，IE就被运行，就和上面一样杯具喽

补充2：手动时的几个关键弹窗

显示全部楼层 · 发表于 2012-12-25 17:18:49

这样的必须拿下

显示全部楼层 · 发表于 2012-12-25 17:36:33

本帖最后由 a256886572008 于 2012-12-25 17:45 编辑

1. 用CLT.exe測試就知道，病毒開的 IE(隨便一個信任進程也可以，如：svchost.exe....之類的)，BB型的防火牆都能攔截。

2.auto virtualization，防火牆的確不攔截。
默認，官方也沒有把這個放進去。

3.有人提供了 vbs代碼，我雙擊了一下，結果如下：

2012-12-25 17:42:30 C:\Documents and Settings\Roger\桌面\123.vbs Sandboxed As Partially Limited

2012-12-25 17:42:34 C:\Documents and Settings\Roger\桌面\123.vbs Access COM Interface C:\Program Files\Internet Explorer\IEXPLORE.EXE

显示全部楼层 · 发表于 2012-12-25 17:46:12

firefox3 发表于 2012-12-25 17:18
这样的必须拿下

虚拟桌面里面被“完全虚拟化”的进程在Windows桌面下，打开任务管理器还是看得到？

求解～

显示全部楼层 · 发表于 2012-12-25 17:50:13

Heavev 发表于 2012-12-25 17:46
虚拟桌面里面被“完全虚拟化”的进程在Windows桌面下，打开任务管理器还是看得到？

求解～

1.就算沒入沙，還是能看到。

2. auto virtualization 的權限是 fully virtualized，所以他的所有文件註冊表操作，VK里都看得到。

舉例：VB 下載檔案到桌面，外面的桌面看不到，VK裡面就能看到。

显示全部楼层 · 发表于 2012-12-25 17:51:12

firefox3 发表于 2012-12-25 17:18
这样的必须拿下

这样的弹窗是如何设置才能有？

显示全部楼层 · 发表于 2012-12-25 17:53:52

请问关键弹窗需要如何设置才能出现？

显示全部楼层 · 发表于 2012-12-25 17:53:55

a256886572008 发表于 2012-12-25 17:50
1.就算沒入沙，還是能看到。

2. auto virtualization 的權限是 fully virtualized，所以他的所有文件註 ...

也就是说，虚拟桌面里的程序运行后，打开实机的任务管理器是看得到的？

显示全部楼层 · 发表于 2012-12-25 17:57:52

本帖最后由 darkwolf_99 于 2012-12-25 18:07 编辑

a256886572008 发表于 2012-12-25 17:36
1. 用CLT.exe測試就知道，病毒開的 IE(隨便一個信任進程也可以，如：svchost.exe....之類的)，BB型的防火牆 ...

主题贴里写了测试环境，如果我们的不同，讨论起来意义不大

如果测试环境相同

1.　你的这个IE的弹窗和我的区别不大，没有特殊设置，是默认放行的，连80端口，对IE来说是正常行为；而且这个弹窗，用户也无从判断

3.　看来样本直接执行，和双击vbs代码（我没试），v6是不同处理；测试过程中，v6在两个级别里都没有拦com口。不信的话，可以自己试试

显示全部楼层 · 发表于 2012-12-25 18:01:23

firefox3 发表于 2012-12-25 17:18
这样的必须拿下

当然

可惜“完全虚拟化”是没有这个的

[分享] ★★★★V6“完全虚拟化”的不安全性初探+v6之BB的特别注意（更新：结论篇）★★★★

本帖子中包含更多资源

评分

本帖子中包含更多资源