國內殺軟都不用 SSDT hooks ？

derrick_goi

膜拜技术贴和牛人

dl123100

Tron 发表于 2011-7-17 11:42
嗯，我会讲怎么过它的最高限制级别，就是八那一堆系统限制还有行为防御全开的

只能等slide了。
sandbox这块这几年的一些paper主要是针对IE Protected Mode、Chrome sandbox、Adobe Reader X这类。老外的很多paper感觉只是简单分析了sandbox，没有提什么新的bypass的方法，像SMB loopback之类的之前有人对付sandboxie也用过，还有一些偏向欺骗用户点击了。
当然前几个月有个叫Tom Keetch的老外的几个paper，还算总结了几个bypass sandbox的方法。
本来前几天Recon，Alex Ionescu有个议题也是关于bypass sandbox that  leverages the Windows desktop/window station/job APIs的，可惜slide是很难下载到了。

jefffire

dl123100 发表于 2011-7-17 12:50
只能等slide了。
sandbox这块这几年的一些paper主要是针对IE Protected Mode、Chrome sandbox、Adobe  ...

各种信息，膜拜

李白vs苏轼

dl123100 发表于 2011-7-17 12:50
只能等slide了。
sandbox这块这几年的一些paper主要是针对IE Protected Mode、Chrome sandbox、Adobe  ...

各种膜拜啊啊啊啊，

Tron

dl123100 发表于 2011-7-17 12:50
只能等slide了。
sandbox这块这几年的一些paper主要是针对IE Protected Mode、Chrome sandbox、Adobe  ...

其实JOB还是有很多缺陷的，WIN32K里猫腻太多。
老外基本的SANDBOX分析基本都是胡弄事，没看到真正能bypass JOB+降权，要么就是用0DAY了

360BOX的LPC还不特色？而且新版安全性已经很高的，基本上除了一些局限性手法很难攻破了

COMODO对LPC主要还是靠降权了吧，hook 内部表的话，很难做到完整

iippuiui

技术贴，，，看懂小小

dl123100

Tron 发表于 2011-7-17 13:39
其实JOB还是有很多缺陷的，WIN32K里猫腻太多。
老外基本的SANDBOX分析基本都是胡弄事，没看到真正能by ...

job object相关的只是以前根据你的提示找到过一个利用hwnd_broadcast来突破。另外看到老外说过利用一些新的attack vector比如GPU相关的，不过貌似paper都不深入。
hook内部表我也觉得针对sandbox不是特别有用。
360box那里只简单看过几个注册的hook handler还有npfs上的hook，minifilter只是纯粹为测试XueTr以后的minifilter检测列了一下。

步兵

各种大牛，膜拜啊

流年春去

国内瑞星、江民都有

zhousulin5

膜拜大牛。看不懂啊