首页
论坛
课程
招聘
[原创]检测Kaspersky沙盒之OpenProcess大法
2010-2-2 19:15 7040

[原创]检测Kaspersky沙盒之OpenProcess大法

2010-2-2 19:15
7040
最近看到不少人讨论如何检测程序是否运行于Kaspersky的沙盒中。

有的人想到Sleep(XXXXXXXX);;有的人想到访问一个不存在的网络地址然后根据结果判断;有的人想到通过复杂运算折腾死虚拟机。。。 。。。

花样层出不穷,其实这些方法非常山寨,而且还不稳定、不准确。

下面贴出我的源代码~~~

//
//AUTHOR:黑客守卫者
//BLOG:http://hi.baidu.com/ihxdef
//url:http://hi.baidu.com/ihxdef/blog/item/87e8a2a62f535d9ed043585e.html
//

#include <windows.h>
#include <stdio.h>
#include <tlhelp32.h>

//
//Define
//
int DetectSandBox(void);

//
//Routine
//
int DetectSandBox(void)
{
   //
   //Routine Description:
   //
   //This routine detect if is run in real OS or SandBox.
   //Tested in win xp.
   //Not for win Vista or later version

   //
   //Arguments:
   //
   //None

   //
   //Return Value:
   //
   // -1 for error
   // 0 for run in real OS
   // 1 for run in SandBox

   //
   //Adjust Token Privileges
   //
    HANDLE hToken = NULL;
    LUID sedebugnameValue;
    TOKEN_PRIVILEGES tkp;

    if(!OpenProcessToken(GetCurrentProcess(),TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &hToken))
   {
        return -1;
    }
    if(!LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &sedebugnameValue))
   {
        CloseHandle(hToken);
        return -1;
    }
    tkp.PrivilegeCount = 1;
    tkp.Privileges[0].Luid = sedebugnameValue;
    tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
    if (!AdjustTokenPrivileges(hToken, FALSE, &tkp, sizeof(tkp), NULL, NULL))
   {
        CloseHandle(hToken);
        return -1;
    }

   //
   //Detect SandBox
   //
   DWORD dwProcCount = 0;
   DWORD dwFaultCount = 0;

   HANDLE hSnap=CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);
   PROCESSENTRY32 pe;
   pe.dwSize=sizeof(PROCESSENTRY32);

   if(hSnap)
   {
      Process32First(hSnap,&pe);
      do
      {
         if(
            pe.th32ProcessID == GetCurrentProcessId() ||
            pe.th32ProcessID == 0 ||
            pe.th32ProcessID == 4
         )
         {
            continue;
         }

         HANDLE hProc = NULL;
         hProc = OpenProcess( PROCESS_CREATE_THREAD|PROCESS_VM_OPERATION|PROCESS_VM_WRITE,FALSE,pe.th32ProcessID);      
         if( !hProc )
         {
            dwFaultCount++;
         }
         CloseHandle(hProc);

         dwProcCount++;
      }
      while(Process32Next(hSnap,&pe));
      CloseHandle(hSnap);
   }
   else
   {
      return -1;
   }

   //
   //Check the result
   //
   if( (dwProcCount - dwFaultCount) <= 4 )
   {
      return 1;
   }
   else
   {
      return 0;
   }

   return -1;
}

//
//Entry
//
int main(void)
{
   int iRet = DetectSandBox();
   if( iRet == 1 )
   {
      MessageBox(NULL,"RUN IN SANDBOX! DAMN IT!","NOTICE",MB_ICONSTOP);
   }
   else
   if( iRet == 0 )
   {
      MessageBox(NULL,"RUN IN REAL OS!","NOTICE",MB_ICONINFORMATION);
   }
   else
   {
      MessageBox(NULL,"UNKNOWN ERROR! DAMN IT!","NOTICE",MB_ICONSTOP);
   }

   return 0;
}

《0day安全 软件漏洞分析技术(第二版)》第三次再版印刷预售开始!

收藏
点赞0
打赏
分享
最新回复 (7)
雪    币: 16
活跃值: 活跃值 (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
pende 活跃值 1 2010-2-2 19:59
2
0
测试过了,有效,再细细看下代码,楼主赞一个
雪    币: 83
活跃值: 活跃值 (10)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
espzj 活跃值 2 2010-2-2 20:18
3
0
很好 ,顶一个。。
雪    币: 270
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
小天狼星 活跃值 2010-2-2 21:22
4
0
此帖必火,占座留名
雪    币: 65
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
meijingogo 活跃值 2010-2-2 21:42
5
0
弱弱的问一句

if( (dwProcCount - dwFaultCount) <= 4 )
   {
      return 1;
   }
为什么是4???

请LZ解释???
雪    币: 33
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
PEBOSS 活跃值 2010-2-3 03:36
6
0
是不是说在沙盒 中,进程是不能打开其它进程的?

还是沙盒中遍历不到其它进程?
雪    币: 18
活跃值: 活跃值 (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
ayunaa 活跃值 2010-2-3 05:11
7
0
在沙盒中是可以打开其它进程的
雪    币: 441
活跃值: 活跃值 (10)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
叶xiang 活跃值 2010-2-3 10:34
8
0
呵呵,好方法~,
游客
登录 | 注册 方可回帖
返回