如何使用wsb-detect檢測你是否在Windows沙盒中

這篇文章主要介紹“如何使用wsb-detect檢測你是否在Windows沙盒中”，在日常操作中，相信很多人在如何使用wsb-detect檢測你是否在Windows沙盒中問題上存在疑惑，小編查閱了各式資料，整理出簡單好用的操作方法，希望對大家解答”如何使用wsb-detect檢測你是否在Windows沙盒中”的疑惑有所幫助！接下來，請跟著小編一起來學習吧！

創(chuàng)新互聯(lián)主營奎屯網(wǎng)站建設的網(wǎng)絡公司,主營網(wǎng)站建設方案,app軟件開發(fā),奎屯h5微信小程序開發(fā)搭建,奎屯網(wǎng)站營銷推廣歡迎奎屯等地區(qū)企業(yè)咨詢

wsb-detect概述

wsb-detect可以幫助廣大研究人員判斷應用程序當前是否在Windows Sandbox（WSB）中運行。眾所周知，Windows Defender會使用沙盒來進行動態(tài)分析，而且很多安全分析都是需要在沙盒中手動執(zhí)行的。在2019年底，微軟推出了名為Windows Sandbox（簡稱WSB）的新功能。

Windows Sandbox允許我們在15秒內(nèi)快速創(chuàng)建一個基于Hyper-V的虛擬機，該虛擬機具有常見虛擬機所具備的所有特性，比如說剪貼板共享和映射目錄等。該沙盒也是Microsoft Defender Application Guard（WDAG）的基礎，用于在支持Hyper-V的主機上進行動態(tài)分析，并且可以在任何Windows 10專業(yè)版或企業(yè)版計算機上啟用。

技術細節(jié)

wsb_detect_time

沙盒的鏡像似乎是在2019年12月7日（星期六）上午9:14:52制作的，此時正是Windows sandbox向公眾發(fā)布的時間。此檢查交叉引用mountmgr驅動程序上的創(chuàng)建時間戳。

wsb_detect_username

此方法將檢查當前用戶名是否為WDAGUtilityUserAccount，即沙盒中默認使用的帳戶。

wsb_detect_suffix

此方法將使用getAdapterAddresses遍歷適配器列表，并將DNS后綴與mshome.net進行比對，而后者是沙盒默認使用的。

wsb_detect_dev

檢查是否可以打開原始設備\\.\GLOBALROOT\device\vmsmb，該設備用于通過SMB與主機通信。

wsb_detect_cmd

啟動時，在HKEY U LOCAL_MACHINE的RunOnce鍵下搜索一個命令，該命令將密碼設置為永不過期。

wsb_detect_office

檢查當前根驅動器中的OfficePackagesForWDAG，該驅動器似乎用于Windows Defender Microsoft Office模擬。

wsb_detect_proc

檢查CExecSvc.exe，這是一個容器執(zhí)行服務，負責處理大量復雜的事情。

wsb_detect_genuine

當涉及到沙盒檢測時，這是一種更通用的方法，但是從測試來看，Windows在虛擬機中似乎沒有被驗證為合法的。

其他

另外，通過檢查是否可以創(chuàng)建一個名為WindowsSandboxMutex的互斥體，可以在主機上檢測沙盒是否正在運行。這樣可以限制每一臺主機只能運行一個虛擬機，不過我們可以通過復制句柄并調用ReleaseMutex-viola來釋放這個互斥體，以此來獲取多個虛擬機實例。

wsb-detect下載

廣大研究人員可以使用下列命令將該工具源碼克隆至本地，隨后可以在我們的代碼中直接調用：

git clone https://github.com/LloydLabs/wsb-detect.git

wsb-detect使用

detect.h這個頭文件可以導出wsb-detect的所有檢測功能函數(shù)：

#include <stdio.h>

#include "detect.h"

 

int main(int argc, char** argv)

{

  // example vmsmb & username check

  if (wsb_detect_dev() || wsb_detect_username())

  {

    puts("We're in Windows Sandbox!");

    return 0;

  }

  

  return 1;

}

到此，關于“如何使用wsb-detect檢測你是否在Windows沙盒中”的學習就結束了，希望能夠解決大家的疑惑。理論與實踐的搭配能更好的幫助大家學習，快去試試吧！若想繼續(xù)學習更多相關知識，請繼續(xù)關注創(chuàng)新互聯(lián)網(wǎng)站，小編會繼續(xù)努力為大家?guī)砀鄬嵱玫奈恼拢?/p>

網(wǎng)站欄目：如何使用wsb-detect檢測你是否在Windows沙盒中
轉載注明：http://muchs.cn/article38/jogisp.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供域名注冊、網(wǎng)站營銷、網(wǎng)站導航、企業(yè)建站、企業(yè)網(wǎng)站制作、虛擬主機

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉載內(nèi)容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉載，或轉載時需注明來源： 創(chuàng)新互聯(lián)