[原创]浅谈下一代沙箱数据采集技术和虚拟化-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (9)
NoHeart 雪币： 11 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	NoHeart 2 楼 0.0 最后于 5小时前被NoHeart编辑，原因： 2024-10-8 18:16 0
saloyun 雪币： 334 活跃值： (2563) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 235 粉丝 1 关注私信	saloyun 3 楼那么问题来了, 你猜为什么那些大佬还是要在R3采集一些数据呢? 2024-10-8 19:20 0
NoHeart 雪币： 11 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	NoHeart 4 楼 saloyun 那么问题来了, 你猜为什么那些大佬还是要在R3采集一些数据呢? R0获取的信息太少，需要在R3来采集更多的信息。最后于 2024-10-8 19:31 被NoHeart编辑，原因： 2024-10-8 19:25 0
yazigegeda 雪币： 498 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	yazigegeda 5 楼 NoHeart saloyun 那么问题来了, 你猜为什么那些大佬还是要在R3采集一些数据呢? R0获取的信息太少，需要在R3来采集更多的信息。反了吧，r0不是应该获取得更多东西吗？ 2024-10-9 02:20 0
Hiddukel 雪币： 993 活跃值： (419) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	Hiddukel 6 楼沙箱开发本身限制不多，那玩意说白了所有组件都是在自己的VM环境里跑的，你可以在里面随心所欲玩各种黑魔法，没人管你。几年前VxStream被CrowdStrike收购之前玩的就是Patch内核干掉PG，然后在内核各种Hook，玩的就是Quick and Dirty，现在Any.run也是这招。你传个远控进去，远程探测一下你就知道了。 VMRay类似，只不过用了VT做Hook而已。最后于 2024-10-9 06:34 被Hiddukel编辑，原因： 2024-10-9 06:32 0
Black.WuKong 雪币： 135 活跃值： (201) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	Black.WuKong 7 楼 saloyun 那么问题来了, 你猜为什么那些大佬还是要在R3采集一些数据呢? R3接近应用端，采集的数据受到干扰因素比较小。 2024-10-9 09:27 0
NoHeart 雪币： 11 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	NoHeart 8 楼 yazigegeda 反了吧，r0不是应该获取得更多东西吗？只有过滤驱动，功能和process monitor类似的功能，获取的行为信息有限。 2024-10-9 09:49 0
PeterZheng 雪币： 1110 活跃值： (1170) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 24 粉丝 0 关注私信	PeterZheng 9 楼 r3能够做精细化过滤，内核驱动做到极致无非就是对内核调度相关组件的监控，但是一些微软提供的r3框架下的敏感API，到了内核可能就演变成了n个组件共同作用的结果，已经很难看到数据本来的面目了，例如COM, GUI, .NET, 之类的。 3天前 2
NoHeart 雪币： 11 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	NoHeart 10 楼利用虚拟化做R3hook 可以和驱动在代码上做数据整合，例如一段代码调用了CreateFile。可以根据调用地址来查找模块信息(Image回调),如果没有找到调用地址。就是ShellCode或注入的代码或是其他非正常情况。 3天前 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (9)
NoHeart 雪币： 11 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	NoHeart 2 楼 0.0 最后于 5小时前被NoHeart编辑，原因： 2024-10-8 18:16 0
saloyun 雪币： 334 活跃值： (2563) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 235 粉丝 1 关注私信	saloyun 3 楼那么问题来了, 你猜为什么那些大佬还是要在R3采集一些数据呢? 2024-10-8 19:20 0
NoHeart 雪币： 11 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	NoHeart 4 楼 saloyun 那么问题来了, 你猜为什么那些大佬还是要在R3采集一些数据呢? R0获取的信息太少，需要在R3来采集更多的信息。最后于 2024-10-8 19:31 被NoHeart编辑，原因： 2024-10-8 19:25 0
yazigegeda 雪币： 498 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	yazigegeda 5 楼 NoHeart saloyun 那么问题来了, 你猜为什么那些大佬还是要在R3采集一些数据呢? R0获取的信息太少，需要在R3来采集更多的信息。反了吧，r0不是应该获取得更多东西吗？ 2024-10-9 02:20 0
Hiddukel 雪币： 993 活跃值： (419) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	Hiddukel 6 楼沙箱开发本身限制不多，那玩意说白了所有组件都是在自己的VM环境里跑的，你可以在里面随心所欲玩各种黑魔法，没人管你。几年前VxStream被CrowdStrike收购之前玩的就是Patch内核干掉PG，然后在内核各种Hook，玩的就是Quick and Dirty，现在Any.run也是这招。你传个远控进去，远程探测一下你就知道了。 VMRay类似，只不过用了VT做Hook而已。最后于 2024-10-9 06:34 被Hiddukel编辑，原因： 2024-10-9 06:32 0
Black.WuKong 雪币： 135 活跃值： (201) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	Black.WuKong 7 楼 saloyun 那么问题来了, 你猜为什么那些大佬还是要在R3采集一些数据呢? R3接近应用端，采集的数据受到干扰因素比较小。 2024-10-9 09:27 0
NoHeart 雪币： 11 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	NoHeart 8 楼 yazigegeda 反了吧，r0不是应该获取得更多东西吗？只有过滤驱动，功能和process monitor类似的功能，获取的行为信息有限。 2024-10-9 09:49 0
PeterZheng 雪币： 1110 活跃值： (1170) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 24 粉丝 0 关注私信	PeterZheng 9 楼 r3能够做精细化过滤，内核驱动做到极致无非就是对内核调度相关组件的监控，但是一些微软提供的r3框架下的敏感API，到了内核可能就演变成了n个组件共同作用的结果，已经很难看到数据本来的面目了，例如COM, GUI, .NET, 之类的。 3天前 2
NoHeart 雪币： 11 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	NoHeart 10 楼利用虚拟化做R3hook 可以和驱动在代码上做数据整合，例如一段代码调用了CreateFile。可以根据调用地址来查找模块信息(Image回调),如果没有找到调用地址。就是ShellCode或注入的代码或是其他非正常情况。 3天前 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复