这算是VK被过吗？

Candygu

mxf147 发表于 2012-12-23 14:50
这个不仅是VK的问题，第2项测试确实有点门道

第2项，主要是在注册表的多处添加自启动项，然后模拟关闭计算机，如果计算机重启后，测试程序正常运行，则表明测试成功，防御失败。

2012-12-23 15:11:05         D:\regtest\regtest\regtest.exe         Sandboxed As         Partially Limited
2012-12-23 15:11:08         D:\regtest\regtest\regtest.exe         Access COM Interface         LocalSecurityAuthority.Shutdown
2012-12-23 15:11:19         D:\regtest\regtest\regtest.exe         Modify Key         HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
2012-12-23 15:11:26         D:\regtest\regtest\regtest.exe         Modify Key         HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RUNONCEEX
2012-12-23 15:11:26         D:\regtest\regtest\regtest.exe         Modify Key         HKLM\SYSTEM\ControlSet001\services\1RegTest\Type
2012-12-23 15:11:33         D:\regtest\regtest\regtest.exe         Modify Key         HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCEEX\@1GhostRegTest

楼主说的VK自动退出，可能就是模拟关机的那个操作造成的。

a256886572008

大家試試以下這個動作，就能知道原因了。

1.在VK裡面，對開始菜單右鍵，執行 task manager

2.切換到桌外(不是結束)

3.打開 kill switch，查看VK 樹狀進程最頂端的 virtkiosk.exe，記下其PID。

4.進去 VK 裡面。

5.根據剛剛記下的PID，在task manager裡，對著它(virtkiosk.exe) 右鍵，結束程序樹狀目錄。

6.然後按一下X，就和樓主的情況一樣，回到原桌面。

-------------------------------
結論，因為 virtkiosk.exe ....等一堆進程，和 病毒同樣在沙盤裡，所以可被病毒做任意操作(結束進程....等)。

a256886572008

Candygu 发表于 2012-12-23 16:01
第2项，主要是在注册表的多处添加自启动项，然后模拟关闭计算机，如果计算机重启后，测试程序正常运行，则 ...

剛剛測試，關機這個動作， VK 會攔截哦。

柯林

a256886572008 发表于 2012-12-23 16:30
大家試試以下這個動作，就能知道原因了。

1.在VK裡面，對開始菜單右鍵，執行 task manager

你说的这个任务管理器是谁的？系统自带的，我这里调不出来（虚拟桌面下），开始菜单只有几项，右键啥都没有：




结论也正常吧，虚拟化，都在一个沙盘里，彼此的操作是可达的，除非分置于不同的沙盘。

Candygu

柯林 发表于 2012-12-23 16:48
你说的这个任务管理器是谁的？系统自带的，我这里调不出来（虚拟桌面下），开始菜单只有几项，右键啥都没 ...

下面那一条任务栏上右键

柯林

yeow5243 发表于 2012-12-23 14:38
开虚拟桌面测试软件，有必要开d+保护虚拟桌面避免被破坏吗？

既然测的虚拟桌面，没必要吧，按理这些模块应该是相互独立的。一般人使用的话，如果开启了HIPS，也就不用管了，至于做规则，感觉没必要——如果真有厉害的样本可以不加驱就穿破毛豆的沙盘，那说明这沙盘也太糟了，应该改进。

柯林

Candygu 发表于 2012-12-23 16:52
下面那一条任务栏上右键

这个啊 试试

虚拟桌面下这个任务管理器 没多大用 沙盘外的进程一个也结束不了 入了沙就是入了沙

yeow5243

柯林 发表于 2012-12-23 16:52
既然测的虚拟桌面，没必要吧，按理这些模块应该是相互独立的。一般人使用的话，如果开启了HIPS，也就不用 ...

在虚拟桌面用浏览器下载样本，却被实机的idm下载工具接管，样本就下不了，毛豆的虚拟桌面还算安全吗？

a256886572008

yeow5243 发表于 2012-12-23 18:23
在虚拟桌面用浏览器下载样本，却被实机的idm下载工具接管，样本就下不了，毛豆的虚拟桌面还算安 ...

如果样本下不了，不就沒問題嗎？

mxf147

a256886572008 发表于 2012-12-23 18:41
如果样本下不了，不就沒問題嗎？

你实机测试，系统有没有被重启？