360沙箱与sandboxie谁更安全

CiInitialize

Flameocean 发表于 2013-5-12 15:56
没事，让老周给你千万期股不过MJ真心厉害

我这句话是吐槽这些国外厂商对自己产品防御能力的重视程度问题～

金山好歹还给个水杯～

Flameocean

CiInitialize 发表于 2013-5-12 15:58
我这句话的重点在于谈谈这些国外厂商对自己产品防御能力的重视程度问题～

金山好歹还给个水杯～

哈哈，金山还不错，给你一个10多块钱的水杯，这也太寒酸了吧
不过看你你这个ID:MJ0011是不是喜欢MJ的歌然后取的ID
篮球之神MJ 乐坛天王 MJ  安全信息又是MJ你，哈哈。

GreenCodes

别谈一项技术对病毒的防御能力，毫无意义，一个坚固但是兼容性差的沙箱毫无意义

雾生镜

逗，酸水吐的一点水平都没有。
不能光谈防御是不错，但是防御差说明什么。还不是技术不到家

dl123100

CiInitialize 发表于 2013-5-12 15:56
原Poc你测试得不对吧？它用的是limit information，这个xp下无效，我的不提权下除了用query information代 ...

测试确实有问题。
xp下确实失败是肯定的。
Win7虚拟机环境我是没加gogo测试的，如果加了gogo不提权对admin进程也在SepMandatoryToDiscretionary失败，估计我的虚拟机环境有点问题，还得继续检查。
刚才换了另一个环境（自己的笔记本）测试，无论原poc和大牛给的不提权也成功了。

CiInitialize

dl123100 发表于 2013-5-12 16:40
测试确实有问题。
xp下确实失败是肯定的。
Win7虚拟机环境我是没加gogo测试的，如果加了gogo不提权对 ...

你说不提权是UAC也不提权？win7如果开了Uac要用高完整性级别运行不加gogo可以对高完整性级别进程dup。

dl123100

CiInitialize 发表于 2013-5-12 17:01
你说不提权是UAC也不提权？win7如果开了Uac要用高完整性级别运行不加gogo可以对高完整性级别进程dup。

刚才对那个环境恢复了快照，改用VMWare本身虚拟的端口调试，一切测试正常。怀疑还是之前我没有仔细区分admin和system账户的进程或者系统配置问题导致的。

dl123100

CiInitialize 发表于 2013-5-12 15:30
这个的原理在ObDuplicateObject的代码这里：

对于未实现私有的Security Procedure的对象（实现了私有 ...

感谢大牛指点，浪费了你很多时间。
是我太弱了，虽然当时已经找到这里了，还因为测试了不成功就觉得不可能。
后面还被自己混乱的测试环境搞糊涂了，现在连之前测试时的“灵异”现象都重现不了（像NtDuplicateObject针对admin进程时nt!SepMandatoryIntegrityCheck得到的access mask是0x101001），很悲剧。

liyangfr

CiInitialize 发表于 2013-5-11 08:32
没贴我的那次呀。

几年前发现的sandboxie轻松穿漏洞现在还能用

如何上报换钱？