首页
社区
课程
招聘
[原创]沙箱的攻与防
发表于: 2016-12-23 20:30 8890

[原创]沙箱的攻与防

2016-12-23 20:30
8890
收藏
免费 1
支持
分享
最新回复 (11)
雪    币: 783
活跃值: (1121)
能力值: ( LV5,RANK:78 )
在线值:
发帖
回帖
粉丝
2
额,然而我的对抗方式很low....
枚举临时文件.沙箱系统一般都会还原环境..临时文件过少.就判断为沙箱就好了..简单粗暴 真实有效.
2016-12-23 21:31
0
雪    币: 967
活跃值: (1138)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
3
容易误伤啊
2016-12-23 21:37
0
雪    币: 783
活跃值: (1121)
能力值: ( LV5,RANK:78 )
在线值:
发帖
回帖
粉丝
4
所以很low嘛..不过,对于一般的需求够了..只是做个对抗.又不是写木马.一看老板就是搞取证的要不就是分析的...坐等老板开源.学习.开源不怕老板打么..
2016-12-23 21:47
0
雪    币: 12848
活跃值: (9147)
能力值: ( LV9,RANK:280 )
在线值:
发帖
回帖
粉丝
5
个人认为应用层hook一堆dll算不得沙箱
起码得把内核空间和文件系统给隔离了

当然 直接上虚拟机是坠吼的
2016-12-23 23:06
0
雪    币: 967
活跃值: (1138)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
6
肯定直接上虚拟机啊 就是为了得到你软件的行为,并不在乎你产生什么恶劣的行为,也不需要恢复当前的环境,专用于病毒行为分析
2016-12-23 23:29
0
雪    币: 35
活跃值: (1949)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
即使基于内核HOOK的也还有一大堆虚拟机的痕迹可以检测沙箱
2016-12-23 23:53
0
雪    币: 615
活跃值: (585)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
8
怎么检测Vmware虚拟机
2016-12-27 18:54
0
雪    币: 2375
活跃值: (433)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
市面上一些沙箱基于cuckoo的居多好像基本是用python实现的,沙箱难道不应该用c++来做么
2016-12-30 08:03
0
雪    币: 209
活跃值: (22)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
按需自动加载 这个是怎么做到的……
2016-12-30 14:58
0
雪    币: 25
活跃值: (16)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
2018-3-8 17:39
0
游客
登录 | 注册 方可回帖
返回
//