★★★★V6“完全虚拟化”的不安全性初探+v6之BB的特别注意（更新：结论篇）★★★★

zalesv

支持，这个正需要...

x-天秤座

我一直都是禁止svchost.exe执行IE，同时除了资源管理器和几个信任程序，其他所有程序禁止调用IE（包括禁止利用COM接口调用），同时限制执行?script.exe程序，禁止非信任程序执行*.vbs（包括禁止?script.exe程序执行*\temp\*.vbs），所以这些东西对我电脑无破坏，平时俺也不搞那些测试，只求自己电脑安心，哈哈。

trisfree

a256886572008 发表于 2012-12-26 21:59
untrusted --> 不信任，blocked --> 阻止

-----------------

就是限制性的

会飞的猫

所以说完全虚拟化不可靠么？但我自认为这种钓鱼还是逃不过我4.0的眼睛的

a256886572008

会飞的猫 发表于 2012-12-27 00:51
所以说完全虚拟化不可靠么？但我自认为这种钓鱼还是逃不过我4.0的眼睛的

最終目標，是要像金山那樣，阻止QQ窗口被隱藏。

防火牆斷網，對一般用戶來說可能很難判斷。

darkwolf_99

a256886572008 发表于 2012-12-26 21:02
1. OS 降權的，不會在日誌內出現。

2. 如果 同在沙盤內還可攔截，那麼應該是 OS降權 攔截了。

一、很奇怪，为什么要把QQ与样本在同一沙盘里运行？在同一沙盘里，既运行常用程序，又运行陌生程序，这是SBie使用时的大忌，用熟的人都知道
SBie因为有沙盘多开功能，所以使用时，强调的是内外（沙盘内和沙盘外）和不同沙盘内运行，理念上和毛豆完全不同。

SBie，样本在沙盘里，QQ在沙盘外，SBie的“降不降权”都可以拦截QQ窗口的隐藏，23L有贴图，兄台可以试试，我的环境是win7x64，32位里应该更没问题。与降不降权没有关系。

二、我不认为，SBie的”降权“和毛豆Limited的降权差不多；我从来不用SBie里的“降权”，感觉这个“降权”，只是运行时有UAC弹窗的程序，禁止运行而已，并没有像毛豆那样，强制程序在某个权限下运行。那个regtest的测试（http://bbs.kafan.cn/thread-1433613-1-1.html），用Limited的毛豆，被轻易干掉到系统注销 ，SBie无需”降权“轻易防御，系统里任何一个进程都不会被结束

SBie的防御有很多深意，能多年不被穿透，和在样本区王者归来，不是那样简单的


三、另外，加了sbiextra.dll后，只要样本和QQ不在同一沙盘，就能完美防御，比金山强得多，都不需要涉及到“能不能隐藏QQ窗口”这步，与”降不降权“更没关系。可惜毛豆到了Restricted这步，有多少软件还能正常使用，鲜有了

firefox3

darkwolf_99 发表于 2012-12-26 15:37
又测试了几次，终于弄清楚是怎么一会事儿了

搞了半天  你才知道？

兄台的推论部分是正确的。但这个样本是利用vbs，由com接口创建IE进程，显示的都是由svchost创建，不会显示由样本创建。

MD交叉分组规则低限制组就没监控com（http://bbs.kafan.cn/thread-940352-1-1.html）
就像sanhu35大大说的

2.本规则没有对COM和DLL进行特别的控制，需要的可以自行添加。

darkwolf_99

firefox3 发表于 2012-12-27 11:10
搞了半天  你才知道？

MD交叉分组规则低限制组就没监控com（http://bbs.kafan.cn/thread-940352-1-1.h ...

哪个知道，毛豆v6对没在“信任”列表里的程序处理，这么宽松的

最搞笑是那个“完全虚拟”，完全是个摆设，IE要是敢在“信任”列表里，一个弹窗都没有，直接被盗号

真是——不在“信任”列表里不是，在“信任”列表里也不是

我用MD的时候，自己对照着毛豆，把需要的能加上的com接口都手动加上；这么有用的功能不加，真是辜负了S大

firefox3

darkwolf_99 发表于 2012-12-27 11:23
哪个知道，毛豆v6对没在“信任”列表里的文件的处理，这么宽松的

最搞笑是那个“完全虚拟”， ...

市场决定产品特性懂？

darkwolf_99

firefox3 发表于 2012-12-27 11:26
市场决定产品特性懂？

特个球，这是bug；v5就不会这样