這篇文章主要介紹“如何使用wsb-detect檢測(cè)你是否在Windows沙盒中”，在日常操作中，相信很多人在如何使用wsb-detect檢測(cè)你是否在Windows沙盒中問(wèn)題上存在疑惑，小編查閱了各式資料，整理出簡(jiǎn)單好用的操作方法，希望對(duì)大家解答”如何使用wsb-detect檢測(cè)你是否在Windows沙盒中”的疑惑有所幫助！接下來(lái)，請(qǐng)跟著小編一起來(lái)學(xué)習(xí)吧！

創(chuàng)新互聯(lián)主營(yíng)奎屯網(wǎng)站建設(shè)的網(wǎng)絡(luò)公司,主營(yíng)網(wǎng)站建設(shè)方案,app軟件開(kāi)發(fā),奎屯h5微信小程序開(kāi)發(fā)搭建,奎屯網(wǎng)站營(yíng)銷推廣歡迎奎屯等地區(qū)企業(yè)咨詢

wsb-detect概述

wsb-detect可以幫助廣大研究人員判斷應(yīng)用程序當(dāng)前是否在Windows Sandbox（WSB）中運(yùn)行。眾所周知，Windows Defender會(huì)使用沙盒來(lái)進(jìn)行動(dòng)態(tài)分析，而且很多安全分析都是需要在沙盒中手動(dòng)執(zhí)行的。在2019年底，微軟推出了名為Windows Sandbox（簡(jiǎn)稱WSB）的新功能。

Windows Sandbox允許我們?cè)?5秒內(nèi)快速創(chuàng)建一個(gè)基于Hyper-V的虛擬機(jī)，該虛擬機(jī)具有常見(jiàn)虛擬機(jī)所具備的所有特性，比如說(shuō)剪貼板共享和映射目錄等。該沙盒也是Microsoft Defender Application Guard（WDAG）的基礎(chǔ)，用于在支持Hyper-V的主機(jī)上進(jìn)行動(dòng)態(tài)分析，并且可以在任何Windows 10專業(yè)版或企業(yè)版計(jì)算機(jī)上啟用。

技術(shù)細(xì)節(jié)

wsb_detect_time

沙盒的鏡像似乎是在2019年12月7日（星期六）上午9:14:52制作的，此時(shí)正是Windows sandbox向公眾發(fā)布的時(shí)間。此檢查交叉引用mountmgr驅(qū)動(dòng)程序上的創(chuàng)建時(shí)間戳。

wsb_detect_username

此方法將檢查當(dāng)前用戶名是否為WDAGUtilityUserAccount，即沙盒中默認(rèn)使用的帳戶。

wsb_detect_suffix

此方法將使用getAdapterAddresses遍歷適配器列表，并將DNS后綴與mshome.net進(jìn)行比對(duì)，而后者是沙盒默認(rèn)使用的。

wsb_detect_dev

檢查是否可以打開(kāi)原始設(shè)備\\.\GLOBALROOT\device\vmsmb，該設(shè)備用于通過(guò)SMB與主機(jī)通信。

wsb_detect_cmd

啟動(dòng)時(shí)，在HKEY U LOCAL_MACHINE的RunOnce鍵下搜索一個(gè)命令，該命令將密碼設(shè)置為永不過(guò)期。

wsb_detect_office

檢查當(dāng)前根驅(qū)動(dòng)器中的OfficePackagesForWDAG，該驅(qū)動(dòng)器似乎用于Windows Defender Microsoft Office模擬。

wsb_detect_proc

檢查CExecSvc.exe，這是一個(gè)容器執(zhí)行服務(wù)，負(fù)責(zé)處理大量復(fù)雜的事情。

wsb_detect_genuine

當(dāng)涉及到沙盒檢測(cè)時(shí)，這是一種更通用的方法，但是從測(cè)試來(lái)看，Windows在虛擬機(jī)中似乎沒(méi)有被驗(yàn)證為合法的。

其他

另外，通過(guò)檢查是否可以創(chuàng)建一個(gè)名為WindowsSandboxMutex的互斥體，可以在主機(jī)上檢測(cè)沙盒是否正在運(yùn)行。這樣可以限制每一臺(tái)主機(jī)只能運(yùn)行一個(gè)虛擬機(jī)，不過(guò)我們可以通過(guò)復(fù)制句柄并調(diào)用ReleaseMutex-viola來(lái)釋放這個(gè)互斥體，以此來(lái)獲取多個(gè)虛擬機(jī)實(shí)例。

wsb-detect下載

廣大研究人員可以使用下列命令將該工具源碼克隆至本地，隨后可以在我們的代碼中直接調(diào)用：

git clone https://github.com/LloydLabs/wsb-detect.git

wsb-detect使用

detect.h這個(gè)頭文件可以導(dǎo)出wsb-detect的所有檢測(cè)功能函數(shù)：

#include <stdio.h>

#include "detect.h"

 

int main(int argc, char** argv)

{

  // example vmsmb & username check

  if (wsb_detect_dev() || wsb_detect_username())

  {

    puts("We're in Windows Sandbox!");

    return 0;

  }

  

  return 1;

}

到此，關(guān)于“如何使用wsb-detect檢測(cè)你是否在Windows沙盒中”的學(xué)習(xí)就結(jié)束了，希望能夠解決大家的疑惑。理論與實(shí)踐的搭配能更好的幫助大家學(xué)習(xí)，快去試試吧！若想繼續(xù)學(xué)習(xí)更多相關(guān)知識(shí)，請(qǐng)繼續(xù)關(guān)注創(chuàng)新互聯(lián)網(wǎng)站，小編會(huì)繼續(xù)努力為大家?guī)?lái)更多實(shí)用的文章！

網(wǎng)站欄目：如何使用wsb-detect檢測(cè)你是否在Windows沙盒中
轉(zhuǎn)載注明：http://jinyejixie.com/article38/jogisp.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供域名注冊(cè)、網(wǎng)站營(yíng)銷、網(wǎng)站導(dǎo)航、企業(yè)建站、企業(yè)網(wǎng)站制作、虛擬主機(jī)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)