查看: 5531|回复: 17
收起左侧

[一般话题] Microsoft Defender沙盒模式下不定的BUG

[复制链接]
ANY.LNK
发表于 2023-4-5 12:44:45 | 显示全部楼层 |阅读模式
本帖最后由 ANY.LNK 于 2023-4-5 17:18 编辑

有时已经启用沙盒模式的情况下启动时MsMpEngCP.exe(Antimalware Service Executable Content Process)没有启动(非常不常见)

不正常的状态:


正常的状态:
进程列表中存在MsMpEngCP.exe的进程

更不正常的是以往重启即可恢复的问题现在重启也没有恢复,仅在启动时任务管理器查看会短暂的启动随即自动退出

目前怀疑是最近的引擎更新1.1.20200.4的问题

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
遨游宇宙
发表于 2023-4-5 18:10:53 | 显示全部楼层
这东西现在是默认启用吗还是要通过配置环境变量
ANY.LNK
 楼主| 发表于 2023-4-5 18:32:45 | 显示全部楼层
遨游宇宙 发表于 2023-4-5 18:10
这东西现在是默认启用吗还是要通过配置环境变量

自己配置环境变量
GDHJDSYDH
发表于 2023-4-7 02:30:12 | 显示全部楼层
问几个问题,这个沙盒模式真的能防御恶意软件对MD的劫持吗?还有内存完整性开启后能防御线程注入吗?比如说Magniber的无文件注入攻击
ANY.LNK
 楼主| 发表于 2023-4-8 01:37:08 | 显示全部楼层
本帖最后由 ANY.LNK 于 2023-4-8 01:55 编辑
GDHJDSYDH 发表于 2023-4-7 02:30
问几个问题,这个沙盒模式真的能防御恶意软件对MD的劫持吗?还有内存完整性开启后能防御线程注入吗?比如说 ...

沙盒模式能否阻止恶意软件的劫持没有测试过,毕竟MD的漏洞披露出来相对较少,而受限制于PPL保护等的影响,要挖洞不像其他进程一样容易,微软又在这方面更新很快,往往披露出来时就已经被修复了;而Magniber我这边受限制于虚拟机的问题,没办法进行测试
喀反
发表于 2023-4-8 09:26:20 | 显示全部楼层
这个沙盒模式是啥?sandbox?
ANY.LNK
 楼主| 发表于 2023-4-8 10:08:07 | 显示全部楼层
喀反 发表于 2023-4-8 09:26
这个沙盒模式是啥?sandbox?

是对Microsoft Defender的进程的加强保护,防止通过诸如CVE-2020-0835或CVE-2017-0290漏洞攻击。不过我不是很确定Windows SandBox和它的关系,二者可以独立分别运行,但又疑似运行在同一账户下
喀反
发表于 2023-4-8 14:00:35 | 显示全部楼层
ANY.LNK 发表于 2023-4-8 10:08
是对Microsoft Defender的进程的加强保护,防止通过诸如CVE-2020-0835或CVE-2017-0290漏洞攻击。不过我不 ...

怎么开启沙盒模式
ANY.LNK
 楼主| 发表于 2023-4-8 14:07:48 | 显示全部楼层
喀反 发表于 2023-4-8 14:00
怎么开启沙盒模式

这个setx /M MP_FORCE_USE_SANDBOX 1 管理员权限
喀反
发表于 2023-4-8 14:57:25 | 显示全部楼层
ANY.LNK 发表于 2023-4-8 14:07
这个setx /M MP_FORCE_USE_SANDBOX 1 管理员权限

能看见在环境变量中添加了这个,那怎么看有没有生效?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 11:46 , Processed in 0.124413 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表