什么是“嵌入式代码检测”？

paink

rex_bbs 发表于 2019-5-1 17:44
确实不对,说成了对整个script模块的理解,嵌入式个人理解觉得像office里的vbs宏,为了提升office运行的功能 ...

官方关于：启发式-命令行-分析，嵌入式-代码-检测


我开始也是这么想的，认为“启发式-命令行-分析”是使用启发方式对从命令行执行的脚本进行分析；“嵌入式-代码-检测”则是你说的那个样子。

然而现实却不是。
因为*\cmd.exe默认是没有选中“嵌入式代码检测”的，那么从cmd执行的命令理应受到影响。
实际上，默认状态下cmd命令执行正常，反而是在开启“嵌入式……”后，无法达到执行目的，即使是简单的“cd”命令都被隔离。

----------------------------------------------------------------------------------------------------------

大致知道怎么回事了，是我自己不够细心，没能发现。
被隔离的“cd”命令是从右键菜单中激发的。

而如果是下面的方式，则不会被（嵌入式代码检测）隔离：
①直接的运行cmd.exe，然后执行命令（在这里运行bat或cmd文件，无论文件还是解释器，都不会被隔离或入沙）；
②直接运行.bat/.cmd文件（由于有沙盒规则（所有【未知的】应用程序入沙），会被入沙）。

也就是说“嵌入式代码检测”是针对脚本的激发/启动方式（而非运行方式）进行追踪检测的。
其应对方式也十分生涩，打开姿势不对时，即使是简单的cd命令都会被隔离（这是嵌入式代码检测的隔离行为，而不是沙盒的）,执行的cmd命令都会被毛豆创建一个bat文件放在它的临时脚本文件夹里，同时使此脚本进程进入完全虚拟化（无法设为“忽略”，呆不呆？）。

已知的，可以激发嵌入式代码检测的方式（以cmd为例，作为参考）：
①几乎是排除上面两点之外的所有方式，详细的见下面：
②从右键菜单（第三方程序添加的菜单）运行cmd；（win10的资源管理器是否能直接打开命令行不太记得了，我用的7）
③从第三方程序激发的cmd命令（通过调用cmd.exe来执行），如git-cmd.exe；
实际上大多数程序运行cmd命令或cmd文件都是调用的cmd.exe，所以嵌入式代码检测的定义从这里就出来了。

至于所有的脚本文件，除非特别定制了沙盒规则，否则的话，不直接通过命令行执行的所有脚本统统都是未知文件，其宿主程序也会被入沙/完全虚拟化。
如果运行cmd命令或cmd文件不需要调用cmd.exe，自己都能编译执行，那就会直接激发沙盒（存在全局未知入沙规则时），而不会激发“嵌入式……”。测试时，cygwin的run.exe就是这么厉害。

----------------------------------------------------------------------------------------------------------
结论：

所以，针对cmd.exe开启“嵌入式脚本检测”后，comodo就会检测第三方程序对cmd.exe的调用动作。

对于其他的类似cmd.exe 的脚本执行程序，comodo除了检测调用，还会检测该程序的文件访问操作（FD）。而且，最后是直接调用了沙盒，对文件（毛豆是定义为脚本进程）以及脚本执行程序都完全虚拟化。

过程中，监控点是列表中的脚本执行器（守株待兔），启发点是其他任意（包括可信）程序的调用行为。
所以，“嵌入式脚本检测”就应该看成是一种特别针对脚本文件的，基于HIPS 的主动沙盒防御。

ps：遇到过（有特别古怪后缀名的）普通纯文本文档也被隔离的情况。恐怕毛豆也不知道哪些才是脚本文件，只是单纯的监视脚本执行器的文件访问行为。

----------------------------------------------------------------------------------------------------------
启发想法：

看过这个帖子后，了解到日常使用的办公程序都会引入“宏”的功能。就是使用脚本命令，去完成一些重复的复杂动作。除了毛豆已经加入分析的应用程序，用户其实可以加入一些第三方程序。
这里如果加入那些办公程序会怎样呢？
在不同的“嵌入式代码分析”开关状态下结果又是怎样的呢？
哪些使用宏执行的编辑操作的部分，是否会生效并保留下列呢？

这里要感谢网友 @rex_bbs的回复，提供了很多有利提示。