查看: 11494|回复: 11
收起左侧

[讨论] 关于 VirtualBox 4.3.14 版本后加入的安全检查

[复制链接]
hx1997
发表于 2015-2-16 10:49:01 | 显示全部楼层 |阅读模式
鉴于此前发现的 Turla/Uroburos 恶意软件中 [1],利用了 VirtualBox 旧版本驱动程序中的漏洞,实现在 x64 系统上绕过驱动程序数字签名校验加载驱动程序,Oracle(甲骨文)从 VirtualBox 4.3.14 版本开始加入了“加固”功能 [2],以保护 VirtualBox 组件:

1. 对 VirtualBox 程序文件进行完整性检查,防止篡改,包括数字签名校验及其他检查
2. 对 VirtualBox 可加载的 DLL 实行白名单机制,防止 DLL 注入
3. 对白名单中的系统 DLL 进行数字签名校验以确保没有被替换
4. 对完整性检查函数所在 DLL 进行加固
5. 禁止调试器附加
6. 保护内存区域不被恶意分配
7. 防止远线程注入

不过此功能(对,这是 feature 不是 bug)一出,官方论坛上就有用户开始怨声载道,官方只好专门开了个帖来处理问题 [3]。

总之,如果你的 VirtualBox 出现不能启动虚拟机的情况,请注意检查是否有:

1. 数字签名无效的 VirtualBox 文件
2. VirtualBox 程序被注入(安全软件、沙箱、HIPS 等都会导致此问题)
3. 被替换的系统 DLL、没有微软签名的系统 DLL
4. 调试器调试 VirtualBox(安全软件、沙箱、HIPS 等都会导致此问题)

以上只是部分原因。

[1]: http://bbs.kafan.cn/thread-1694293-1-1.html
[2]: https://forums.virtualbox.org/viewtopic.php?f=25&t=62618
[3]: https://forums.virtualbox.org/viewtopic.php?f=6&t=66071
FLASHGET0
发表于 2015-2-19 16:20:16 | 显示全部楼层
2.3.4都中了!原来如此啊!看来杀软和hips都要加忽略列表看看能不能用。感谢楼主分享!
1007
发表于 2015-2-20 09:01:05 | 显示全部楼层
虚拟机里能感染HOST?
hx1997
 楼主| 发表于 2015-2-20 14:06:47 | 显示全部楼层
1007 发表于 2015-2-20 09:01
虚拟机里能感染HOST?

我哪里写了“虚拟机里能感染HOST”,请你指给我看看。
zqjiang
发表于 2015-2-20 14:42:13 | 显示全部楼层
还在 4.3.12
zhousulin5
发表于 2015-7-2 16:25:54 | 显示全部楼层
顶上来让那些被困扰的人知道是怎么回事。
yfdyh000
发表于 2015-7-3 22:50:25 | 显示全部楼层
之前就很莫名其妙起不来,排查许久才发现是MacType的问题,添加两项排除后还会注入,只选第一项排除才行。

Vbox的报错提示太模糊了,你哪怕给个大概原因呢,给出问题模块名更好。
100lj
发表于 2015-7-7 09:37:51 | 显示全部楼层
看来VirtualBox 4.3.12以后版本问题多多啊。
ginneylover
发表于 2015-7-11 08:16:35 | 显示全部楼层
yfdyh000 发表于 2015-7-3 22:50
之前就很莫名其妙起不来,排查许久才发现是MacType的问题,添加两项排除后还会注入,只选第一项排除才行。
...

请问排除哪些?
yfdyh000
发表于 2015-7-11 15:24:37 | 显示全部楼层

排除VirtualBox.exe就可以了。只选“排除此进程”,不要选“不对此进程替换字体”。我的经验是这样的。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 06:27 , Processed in 0.114646 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表