Microsoft Defender沙盒模式下不定的BUG

显示全部楼层 · 发表于 2023-4-5 12:44:45

本帖最后由 ANY.LNK 于 2023-4-5 17:18 编辑

有时已经启用沙盒模式的情况下启动时MsMpEngCP.exe（Antimalware Service Executable Content Process）没有启动（非常不常见）

不正常的状态：

正常的状态：
进程列表中存在MsMpEngCP.exe的进程

更不正常的是以往重启即可恢复的问题现在重启也没有恢复，仅在启动时任务管理器查看会短暂的启动随即自动退出

目前怀疑是最近的引擎更新1.1.20200.4的问题

显示全部楼层 · 发表于 2023-4-5 18:10:53

这东西现在是默认启用吗还是要通过配置环境变量

显示全部楼层 · 发表于 2023-4-5 18:32:45

遨游宇宙发表于 2023-4-5 18:10
这东西现在是默认启用吗还是要通过配置环境变量

自己配置环境变量

显示全部楼层 · 发表于 2023-4-7 02:30:12

问几个问题，这个沙盒模式真的能防御恶意软件对MD的劫持吗？还有内存完整性开启后能防御线程注入吗？比如说Magniber的无文件注入攻击

显示全部楼层 · 发表于 2023-4-8 01:37:08

本帖最后由 ANY.LNK 于 2023-4-8 01:55 编辑

GDHJDSYDH 发表于 2023-4-7 02:30
问几个问题，这个沙盒模式真的能防御恶意软件对MD的劫持吗？还有内存完整性开启后能防御线程注入吗？比如说 ...

沙盒模式能否阻止恶意软件的劫持没有测试过，毕竟MD的漏洞披露出来相对较少，而受限制于PPL保护等的影响，要挖洞不像其他进程一样容易，微软又在这方面更新很快，往往披露出来时就已经被修复了；而Magniber我这边受限制于虚拟机的问题，没办法进行测试

显示全部楼层 · 发表于 2023-4-8 09:26:20

这个沙盒模式是啥？sandbox?

显示全部楼层 · 发表于 2023-4-8 10:08:07

喀反发表于 2023-4-8 09:26
这个沙盒模式是啥？sandbox?

是对Microsoft Defender的进程的加强保护，防止通过诸如CVE-2020-0835或CVE-2017-0290漏洞攻击。不过我不是很确定Windows SandBox和它的关系，二者可以独立分别运行，但又疑似运行在同一账户下

显示全部楼层 · 发表于 2023-4-8 14:00:35

ANY.LNK 发表于 2023-4-8 10:08
是对Microsoft Defender的进程的加强保护，防止通过诸如CVE-2020-0835或CVE-2017-0290漏洞攻击。不过我不 ...

怎么开启沙盒模式

显示全部楼层 · 发表于 2023-4-8 14:07:48

喀反发表于 2023-4-8 14:00
怎么开启沙盒模式

这个setx /M MP_FORCE_USE_SANDBOX 1 管理员权限

显示全部楼层 · 发表于 2023-4-8 14:57:25

ANY.LNK 发表于 2023-4-8 14:07
这个setx /M MP_FORCE_USE_SANDBOX 1 管理员权限

能看见在环境变量中添加了这个，那怎么看有没有生效？

[一般话题] Microsoft Defender沙盒模式下不定的BUG

本帖子中包含更多资源