使用wsb-detect检测你是否在Windows沙盒中

wsb-detect可以帮助广大研究人员判断应用程序当前是否在windows sandbox（wsb）中运行。众所周知，windows defender会使用沙盒来进行动态分析，而且很多安全分析都是需要在沙盒中手动执行的。在2019年底，微软推出了名为windows sandbox（简称wsb）的新功能。

Windows Sandbox允许我们在15秒内快速创建一个基于Hyper-V的虚拟机，该虚拟机具有常见虚拟机所具备的所有特性，比如说剪贴板共享和映射目录等。该沙盒也是Microsoft Defender Application Guard（WDAG）的基础，用于在支持Hyper-V的主机上进行动态分析，并且可以在任何Windows 10专业版或企业版计算机上启用。

沙盒的镜像似乎是在2019年12月7日（星期六）上午9:14:52制作的，此时正是Windows sandbox向公众发布的时间。此检查交叉引用mountmgr驱动程序上的创建时间戳。

此方法将检查当前用户名是否为WDAGUtilityUserAccount，即沙盒中默认使用的帐户。

此方法将使用getAdapterAddresses遍历适配器列表，并将DNS后缀与mshome.net进行比对，而后者是沙盒默认使用的。

检查是否可以打开原始设备\.\GLOBALROOT\device\vmsmb，该设备用于通过SMB与主机通信。

启动时，在HKEY U LOCAL_MACHINE的RunOnce键下搜索一个命令，该命令将密码设置为永不过期。

检查当前根驱动器中的OfficePackagesForWDAG，该驱动器似乎用于Windows Defender Microsoft Office模拟。

Writecream

AI作家和文案内容生成器

63

查看详情

检查CExecSvc.exe，这是一个容器执行服务，负责处理大量复杂的事情。

当涉及到沙盒检测时，这是一种更通用的方法，但是从测试来看，Windows在虚拟机中似乎没有被验证为合法的。

另外，通过检查是否可以创建一个名为WindowsSandboxMutex的互斥体，可以在主机上检测沙盒是否正在运行。这样可以限制每一台主机只能运行一个虚拟机，不过我们可以通过复制句柄并调用ReleaseMutex-viola来释放这个互斥体，以此来获取多个虚拟机实例。

广大研究人员可以使用下列命令将该工具源码克隆至本地，随后可以在我们的代码中直接调用：

<code class="javascript">git clone https://github.com/LloydLabs/wsb-detect.git</code>

detect.h这个头文件可以导出wsb-detect的所有检测功能函数：

<code class="javascript">#include <stdio.h>#include "detect.h"int main(int argc, char** argv){  // example vmsmb & username check  if (wsb_detect_dev() || wsb_detect_username())  {    puts("We're in Windows Sandbox!");    return 0;  }  return 1;}</code>

以上就是使用wsb-detect检测你是否在Windows沙盒中的详细内容，更多请关注php中文网其它相关文章！