★★★★V6“完全虚拟化”的不安全性初探+v6之BB的特别注意（更新：结论篇）★★★★

a256886572008

由以下兩張圖，我認為 V5 和 V6 防火牆全被穿破。





---------------
1.後來測試，把 sandbox level 調到 restricted 以上，svchost.exe 就不會執行 IE，這個問題也解決。

2.fully virtualized 雖然 IE能入沙，但是防火牆不會攔截。

3.這個和 CLT.exe 的 explorer as parent 很像，都是叫 svchost.exe 執行 IE。

4.再測試一下，我發現只要阻止訪問 com的日誌有出現，那個 IE就不會連到.vbs裡面寫的 url。
換句話說，除了 fully virtualized以外，其他雖然會遇到 svchost.exe執行IE，但IE卻沒有連到那個 url。

以下是.vbs的內容：

1. set ie=createobject("internetexplorer.application")
   
2. ie.visible=FALSE
   
3. ie.navigate("http://yahoo.com")
   
4. do until ie.readystate=4
   
5. loop
   
6. set ie=nothing

复制代码

url 可以隨便改個自己能連上的做測試。

5.用 fully virtualized之後，一個有趣的發現：

2012-12-26 09:20:30   C:\virus\vfd\'Home.vbs   Sandboxed As   Fully Virtualized   
2012-12-26 09:20:35   C:\Program Files\Internet Explorer\IEXPLORE.EXE   Sandboxed As   Disabled   

有 disabled 這個 sandbox level。

darkwolf_99

a256886572008 发表于 2012-12-25 22:50
由以下兩張圖，我認為 V5 和 V6 防火牆全被穿破。

disabled 这个经常BB设置在"完全虚拟化“级会遇到

不清楚是怎样的设计

darkwolf_99

a256886572008 发表于 2012-12-25 21:56
用 RAR 直接打開，有反應了。

你的测试环境是win7x64吗


又测了一次，在rar里执行样本，一样没有拦截com接口，IE被svchost创建进程

darkwolf_99

rex_bbs 发表于 2012-12-25 22:23
所以说这块还是需要改进的,完美的就该是沙盒独立互相间无法访问,再加个全虚拟里也能做规则控制.

这个可能在安全性上说是完美了，而且加上这样的隔离是简单不过的事情；但沙盘的兼容性和安全性一样重要，否则不实用的东东，也没有人用

也许SBie的作者考虑到这一点，才没有自己加上完全的隔离。不过，有sbiextra.dll就行了，想加的加，不想加的不加

几年前，360的mj自己搞过一个”沙盘“，安全性是不错，可是兼容性和实用性＝0，没意义

期待更好

其实我一直不明白单侧某一个功能意义何在 作为一个完整的体系 必然是各有偏重的 如果将某一功能做点极致那还有其他组件来做什么 而且将某一功能做到极致这本来就不现实 就是因为单一组件无法做到极致 才需要其他组件的配合

darkwolf_99

期待更好 发表于 2012-12-26 11:17
其实我一直不明白单侧某一个功能意义何在 作为一个完整的体系 必然是各有偏重的 如果将某一功能做点极 ...

你会有这样想法，因为你没看明白这个贴

期待更好

darkwolf_99 发表于 2012-12-26 11:19
你会有这样想法，因为你没看明白这个贴

不就是v6BB的拦截bug吗

在关闭杀毒、云查杀的情况下必然是大问题

但是入库了 只要相关组件开了  没问题

v6还不是成熟的产品 有bug是正常

darkwolf_99

期待更好 发表于 2012-12-26 11:27
不就是v6BB的拦截bug吗

在关闭杀毒、云查杀的情况下必然是大问题

不只是拦截bug，是根本就一步都没有拦


“但是入库了”——在这年头，这是最要命的，最薄弱的地方，明白吗？免杀是最容易做的，行为拦截才是最有效的

要举一反三，不是说单个样本毛豆的av能检测到，一切就ok了

期待更好

darkwolf_99 发表于 2012-12-26 11:30
不只是拦截bug，是根本就一步都没有拦

于是又回到我说的那个 行为拦截能做到极致的话 杀毒软件早挂了 杀毒软件没挂 hips倒是挂了一堆

期待更好

darkwolf_99 发表于 2012-12-26 11:30
不只是拦截bug，是根本就一步都没有拦

或许 这样说吧 其实你也应该发现了毛豆一直在走整体完善的路线

现在还有少数用家停留在3.14（不知道有没记错）这个版本 原因就在于对行为本身的高度可控制性上

但这样是不现实的 软件本身的存在意义是便利人 给自己添堵的人 。。。不说了

又或者 这样说吧 我和你是认知有分歧

你更喜欢偏重于技术型 我是彻底的懒人型。。。

不说了 扯远了 没别的意思 见谅海涵