进入containment里的程序还能进行键盘记录、截屏、剪切板记录、录制声音……

导演AZ

墨家小子 发表于 2017-6-2 15:54
在沙盘里修改注册表都无效的，不用关注
重点在那个被注入的explorer，它要是乱来，谁能管住它

关键是搞不懂这注册表是搞啥的  internet setting proxyenable  经常看到啊 貌似正常的软件也会跳这个 不明白 浑身难受

墨家小子

导演AZ 发表于 2017-6-2 15:52
你这16L的 被感染的explorer执行scvhost修改这个注册表
这个注册表是管啥的   
应该是网络连接的设置   ...

就好比，木马进了你的城堡，换了一个身份，给你的要塞拍了一些照片，然后溜溜达达走人了……

墨家小子

导演AZ 发表于 2017-6-2 15:58
关键是搞不懂这注册表是搞啥的  internet setting proxyenable  经常看到啊 貌似正常的软件也会跳 ...

联网吧，通过代{过}{滤}理

导演AZ

墨家小子 发表于 2017-6-2 15:58
联网吧，通过代{过}{滤}理

厉害了我的哥 谢谢

tun

墨家小子 发表于 2017-6-2 15:54
在沙盘里修改注册表都无效的，不用关注
重点在那个被注入的explorer，它要是乱来，谁能管住它

不懂，不是被沙盘管着吗

Candygu

墨家小子 发表于 2017-6-2 15:29
你的意思是出现这种情况下：木马进到本地要是有截屏、键盘记录等信息盗取的行为，毛豆的沙盘会拦截。但如 ...

把样本给官方，他的答复是，这是无效注入。

会注入explorer.exe 然后用它去启动一个svchost.exe pid是3880 然后加载一个 index.dat
(这三个东西都在沙箱里 )

这个程序它本身在沙箱里 它想要注入explorer.exe 所以沙箱模拟了它的行为起了一个 模拟的explorer.exe

它注入的是模拟的
要从沙箱里面穿透出来注入 我们母体的那个explorer.exe 不穿沙箱永远注入的都是模拟的

在沙箱里的程序 想要注入到别的进程 除非利用系统漏洞或者沙箱缺陷

hkjoj

墨家小子 发表于 2017-6-2 10:01
单独开HIPS也有拦截的
http://bbs.kafan.cn/thread-1869938-1-1.html

你原本是說沙盒(containment)罷，HIPS跟沙盒的權限是有分別的
(基本上，沙盒管控的權限比用純HIPS少，這樣才能讓更多程式能在沙盒運行)

P.S.類似這樣的問題自己多年前也在官方論壇也問過，當時的答案是程式本身就是這樣設定。
所以現在才要有 secure shopping 罷，在secure shoppng 環境內才不怕 screen/key capture
https://forums.comodo.com/resolvedoutdated-issues-cis/autosandboxed-but-screenwebcam-capture-seem-to-happen-renamed-t55823.0.html;msg392885#msg392885

墨家小子

Candygu 发表于 2017-6-2 16:46
把样本给官方，他的答复是，这是无效注入。

就是样本在沙盘内无法注入其他程序，也不能在沙盘内进行截屏、键盘记录等等这些行为呗？

墨家小子

hkjoj 发表于 2017-6-2 18:09
你原本是說沙盒(containment)罷，HIPS跟沙盒的權限是有分別的
(基本上，沙盒管控的權限比用純HIPS少， ...

我想弄明白沙盘里面的样本能不能进行截屏、键盘记录、开启摄像头、监视剪切板、声音录制……这些行为

墨家小子

tun 发表于 2017-6-2 16:32
不懂，不是被沙盘管着吗

你有看到官方对此有相关的解答吗？