对于报毒报得很厉害的KeyGen类程序，是用毛豆的沙盘好呢还是另外下个SB好？

諾言敵不過時間

需要注入的你可以嘗試將被注入對象也入沙，入沙程序可以相互訪問 這時就可以看看該破解程序的效果與安全性如何了

chncwk

諾言敵不過時間 发表于 2018-5-9 16:34
需要注入的你可以嘗試將被注入對象也入沙，入沙程序可以相互訪問 這時就可以看看該破解程序的效果與安全性 ...

有没有软件能够侦测到自己运行环境在沙盘内，并突破沙盘的“墙”？

諾言敵不過時間

chncwk 发表于 2018-5-9 17:53
有没有软件能够侦测到自己运行环境在沙盘内，并突破沙盘的“墙”？

突破沙盤的牆?穿沙? 穿沙的東西肯定有，只要有深厚技術為基礎的針對，然後就是看緣分了。
虛擬機都能穿了，穿沙又有何不可

已經有樣本能反虛擬機或是沙盤了，這類樣本無非是入沙了無動作或是自殺。

chncwk

諾言敵不過時間 发表于 2018-5-9 21:54
突破沙盤的牆?穿沙? 穿沙的東西肯定有，只要有深厚技術為基礎的針對，然後就是看緣分了。
虛擬機都能穿 ...

沙盘和虚拟机的墙，都是建立在驱动级上的吧，跟杀软和Hips比更低更难突破吗？

ccboxes

chncwk 发表于 2018-5-9 22:19
沙盘和虚拟机的墙，都是建立在驱动级上的吧，跟杀软和Hips比更低更难突破吗？

没有所谓更低，大家都是内核驱动，相互之间是平等的。

说实话KeyGen之类的用沙盘意义不大，关键在于沙盘和虚拟机都好检测，和实机不一样的地方多得是，病毒穿沙难，装死还不简单？反正你最后还是要乖乖实机运行。

现在能反反沙盘的沙盘一般都是专业的病毒分析器，SB和CIS都没这个能力。

www-tekeze

chncwk 发表于 2018-5-9 22:19
沙盘和虚拟机的墙，都是建立在驱动级上的吧，跟杀软和Hips比更低更难突破吗？

就我所知的说一下：
1. 虚拟机能不被突破，是因为形成的是个“虚拟磁盘文件”，也就是说，运行在虚拟机里的软件，都是被禁锢在这个磁盘文件里 (孙猴子再厉害也跳不出如来佛的掌心)，与加不加驱没什么关系，权限再高大不了把虚拟机系统搞瘫痪，但自己同样也死翘翘了，而通过快照还原，磁盘文件还是原来的那个，虚拟机里的系统也就是完好如初的。。。先回复。。。

www-tekeze

chncwk 发表于 2018-5-9 22:19
沙盘和虚拟机的墙，都是建立在驱动级上的吧，跟杀软和Hips比更低更难突破吗？

而虚拟机被穿，通常只有两种可能，一个就是虚拟机与宿主机 (或叫实体机)之间的内网传播，另一个就是两者间的共享文件夹。 PS：如果想在虚拟机里做勒索样本的测试，必须注意这两方面的隔离，否则实机上的文件会被加密，呵呵，我就吃过这个亏，不是不知道，当时忘记断开共享文件夹了。不过没事，我还有影子，哈哈。。。

www-tekeze

chncwk 发表于 2018-5-9 22:19
沙盘和虚拟机的墙，都是建立在驱动级上的吧，跟杀软和Hips比更低更难突破吗？

2. 沙盘能保安全主要靠的是降权，最起码驱动不允许入沙，既然这样，想让沙盘漏沙就很难了。。。但现在国产软件动不动就玩加驱，所以好多官网正版软件无法在沙盘里运行了，还有游戏等加驱的越来越多，入沙也玩不了。 我玩SBie八年多了，对这点感受颇深。

HEMM

www-tekeze 发表于 2018-5-9 23:14
而虚拟机被穿，通常只有两种可能，一个就是虚拟机与宿主机 (或叫实体机)之间的内网传播，另一个就是两者 ...

还真是多重防护呢~佩服！

话说........楼主不用这玩意儿不就没烦恼了..........购买或者使用官方提供的免费版本........或者换其他有相同功能的免费版.......

ccboxes

諾言敵不過時間 发表于 2018-5-9 21:54
突破沙盤的牆?穿沙? 穿沙的東西肯定有，只要有深厚技術為基礎的針對，然後就是看緣分了。
虛擬機都能穿 ...

不是已经，是烂大街了。现在的病毒自动化分析系统没有个反反沙盘能力基本就废了。