★★★★V6“完全虚拟化”的不安全性初探+v6之BB的特别注意（更新：结论篇）★★★★

yeweiyutu

原本以为开启未知程序自动入沙完全虚拟化同时可以设置入沙未知程序权限级别（这个在5.12版本总是入沙程序设置就有，但是自动入沙没有），可是安装后才知道虚拟化和权限级别同属于一个设置项，要虚拟化就没有权限控制，要权限控制就没有虚拟化，果断卸载，还是用SSF+SBIE来得爽，既虚拟又不让里面的程序撒野。

darkwolf_99

a256886572008 发表于 2012-12-25 17:36
1. 用CLT.exe測試就知道，病毒開的 IE(隨便一個信任進程也可以，如：svchost.exe....之類的)，BB型的防火牆 ...

刚才又测试了几次，证实了我前面的猜测


在win7x64里，双击这个样本产生的vbs，v6会拦截com接口，如你所测一样


但，样本在运行过程中，v6不拦截这个动作，而使IE顺利启动，虽然vbs已经入沙（partialy limited和Limited）





应该是v6的bug

darkwolf_99

rex_bbs 发表于 2012-12-25 19:05
抛开虚拟桌面,假设每个被完全虚拟话的程序都在各自的沙盒中应该也不会发生任何问题了.

这个也得要看有没有在这块做防护，没有做的话，多开也是一样


SBie不加sbiextra.dll，就是这样（样本在沙盘内，QQ在沙盘外或另一沙盘内）



虽然没有加sbiextra.dl后，那样的完美防护，但样本不能“隐藏”QQ的窗口，哈哈，这比v6的手动还强

仔细看还是能识别的

a256886572008

你們的QQ 用哪 一版本測試，我的 QQ 2011 沒反應。

darkwolf_99

a256886572008 发表于 2012-12-25 20:36
你們的QQ 用哪 一版本測試，我的 QQ 2011 沒反應。

2012

firefox3

啥意思，V6bug让你爆出来了？？？？还好，我没换6爆吧爆吧，尽情的爆吧，我继续V5

a256886572008

你們的 HotKeyTay.ini 打開是亂碼嗎？

我的是亂碼

[qpregistr]
qplusrp=h~t?d/~9?21??42?tf99ㄈ篙7r礬tk灁3ico圣8q惴柒6s掾癢4o烒lw羨ac窺ㄅ5p??32??15i.?4/v1?9qκ?7k攔緂5o琅zo夯sc徨柝6l敨4p牽登2noa惰

a256886572008

darkwolf_99 发表于 2012-12-25 19:51
刚才又测试了几次，证实了我前面的猜测

用 RAR 直接打開，有反應了。

2012-12-25 21:51:04   C:\DOCUME~1\Roger\LOCALS~1\Temp\Rar$EXa0.609\2552像‘片.exe   Sandboxed As   Partially Limited   

2012-12-25 21:51:10   C:\Documents and Settings\Roger\Local Settings\Temp\Rar$EXa0.609\2552像‘片.exe   Access Memory   C:\WINDOWS\system32\ctfmon.exe   

2012-12-25 21:51:42   C:\Documents and Settings\Roger\Local Settings\Temp\'Home.vbs   Sandboxed As   Partially Limited   

2012-12-25 21:51:51   C:\Documents and Settings\Roger\Local Settings\Temp\'Home.vbs   Access COM Interface   C:\Program Files\Internet Explorer\IEXPLORE.EXE   

------------------------
你那邊，IE的父進程是誰？我這邊是 svchost.exe

我發現，如果IE不是病毒執行的，才會出現那一條COM的日誌。

這裡有個困難點，我不知道有什麼方法可以判定那個IE有傳送密碼出去？

rex_bbs

darkwolf_99 发表于 2012-12-25 20:14
这个也得要看有没有在这块做防护，没有做的话，多开也是一样

所以说这块还是需要改进的,完美的就该是沙盒独立互相间无法访问,再加个全虚拟里也能做规则控制.

Candygu

yeweiyutu 发表于 2012-12-25 19:41
原本以为开启未知程序自动入沙完全虚拟化同时可以设置入沙未知程序权限级别（这个在5.12版本总是入沙程序设 ...

v6中
自动入沙： 虚拟化+权限控制，没有。
总是入沙： 虚拟化+权限控制，有。见19楼