0GiNr技术社区

注册 |登录

0GiNr技术社区论坛系统常规开发 › 查看主题

959

查看

3

回复
返回列表
黑客守卫者

Rank: 2Rank: 2

金钱
379 元 
经验
30 点 
威望
6 点 
贡献
0 点 
精华
go

[C/Java] 检测Kaspersky沙盒之OpenProcess大法

1
发表于 2010-2-2 19:18 | 只看该作者 | 倒序看帖 | 打印
凡本论坛原创内容,其作者享有著作权,未经许可谢绝转载。
最近看到不少人讨论如何检测程序是否运行于Kaspersky的沙盒中。

有的人想到Sleep(XXXXXXXX);;有的人想到访问一个不存在的网络地址然后根据结果判断;有的人想到通过复杂运算折腾死虚拟机。。。 。。。

花样层出不穷,其实这些方法非常山寨,而且还不稳定、不准确。

下面贴出我的源代码~~~
  1. //
  2. //AUTHOR:黑客守卫者
  3. //BLOG:http://hi.baidu.com/ihxdef
  4. //url:http://hi.baidu.com/ihxdef/blog/item/87e8a2a62f535d9ed043585e.html
  5. //

  7. #include <windows.h>
  8. #include <stdio.h>
  9. #include <tlhelp32.h>

  11. //
  12. //Define
  13. //
  14. int DetectSandBox(void);

  16. //
  17. //Routine
  18. //
  19. int DetectSandBox(void)
  20. {
  21.    //
  22.    //Routine Description:
  23.    //
  24.    //This routine detect if is run in real OS or SandBox.
  25.    //Tested in win xp.
  26.    //Not for win Vista or later version

  28.    //
  29.    //Arguments:
  30.    //
  31.    //None

  33.    //
  34.    //Return Value:
  35.    //
  36.    // -1 for error
  37.    // 0 for run in real OS
  38.    // 1 for run in SandBox

  40.    //
  41.    //Adjust Token Privileges
  42.    //
  43.     HANDLE hToken = NULL;
  44.     LUID sedebugnameValue;
  45.     TOKEN_PRIVILEGES tkp;

  47.     if(!OpenProcessToken(GetCurrentProcess(),TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &hToken))
  48.    {
  49.         return -1;
  50.     }
  51.     if(!LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &sedebugnameValue))
  52.    {
  53.         CloseHandle(hToken);
  54.         return -1;
  55.     }
  56.     tkp.PrivilegeCount = 1;
  57.     tkp.Privileges[0].Luid = sedebugnameValue;
  58.     tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
  59.     if (!AdjustTokenPrivileges(hToken, FALSE, &tkp, sizeof(tkp), NULL, NULL))
  60.    {
  61.         CloseHandle(hToken);
  62.         return -1;
  63.     }

  65.    //
  66.    //Detect SandBox
  67.    //
  68.    DWORD dwProcCount = 0;
  69.    DWORD dwFaultCount = 0;

  71.    HANDLE hSnap=CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);
  72.    PROCESSENTRY32 pe;
  73.    pe.dwSize=sizeof(PROCESSENTRY32);

  75.    if(hSnap)
  76.    {
  77.       Process32First(hSnap,&pe);
  78.       do
  79.       {
  80.          if(
  81.             pe.th32ProcessID == GetCurrentProcessId() ||
  82.             pe.th32ProcessID == 0 ||
  83.             pe.th32ProcessID == 4
  84.          )
  85.          {
  86.             continue;
  87.          }

  89.          HANDLE hProc = NULL;
  90.          hProc = OpenProcess( PROCESS_CREATE_THREAD|PROCESS_VM_OPERATION|PROCESS_VM_WRITE,FALSE,pe.th32ProcessID);      
  91.          if( !hProc )
  92.          {
  93.             dwFaultCount++;
  94.          }
  95.          CloseHandle(hProc);

  97.          dwProcCount++;
  98.       }
  99.       while(Process32Next(hSnap,&pe));
  100.       CloseHandle(hSnap);
  101.    }
  102.    else
  103.    {
  104.       return -1;
  105.    }

  107.    //
  108.    //Check the result
  109.    //
  110.    if( (dwProcCount - dwFaultCount) <= 4 )
  111.    {
  112.       return 1;
  113.    }
  114.    else
  115.    {
  116.       return 0;
  117.    }

  119.    return -1;
  120. }

  122. //
  123. //Entry
  124. //
  125. int main(void)
  126. {
  127.    int iRet = DetectSandBox();
  128.    if( iRet == 1 )
  129.    {
  130.       MessageBox(NULL,"RUN IN SANDBOX! DAMN IT!","NOTICE",MB_ICONSTOP);
  131.    }
  132.    else
  133.    if( iRet == 0 )
  134.    {
  135.       MessageBox(NULL,"RUN IN REAL OS!","NOTICE",MB_ICONINFORMATION);
  136.    }
  137.    else
  138.    {
  139.       MessageBox(NULL,"UNKNOWN ERROR! DAMN IT!","NOTICE",MB_ICONSTOP);
  140.    }

  142.    return 0;
  143. }
复制代码
已有 1 人评分
    • FlowerCode: 精彩代码金钱 + 240 元 威望 + 1 点
本主题由 FlowerCode 于 2010-2-3 01:51 鉴定为 爆料

TOP

huhu0013

Rank: 3

金钱
313 元 
经验
247 点 
威望
25 点 
贡献
0 点 
精华
2
发表于 2010-2-2 23:30 | 只看该作者
哈哈 做黑守的沙发

TOP

FlowerCode

0GiNr核心团队

“花”指令

Rank: 12Rank: 12

金钱
1497 元 
经验
3248 点 
威望
365 点 
贡献
34 点 
精华
3
发表于 2010-2-3 01:57 | 只看该作者
我想以后UAC是个不错的检测方法,毕竟虚拟机不可能让你调用UAC相关函数的。
FlowerCode 保留随时编辑此帖的权利,恕不另行通知。本帖可能包括一些技术上的不准确性或打字错误。FlowerCode “按原样”提供本帖,不包括任何明示或暗含的保证,包括但不限于适销性或适用于某种特殊用途的保证。

TOP

huhu0013

Rank: 3

金钱
313 元 
经验
247 点 
威望
25 点 
贡献
0 点 
精华
4
发表于 2010-2-3 16:21 | 只看该作者
想知道杀软的虚拟机到底是怎么回事?

TOP

‹ 上一主题|下一主题 › 返回列表

0GiNr安全门户 |联系我们

GMT+8, 2010-9-4 00:19.

Powered by Discuz! X1

© 2001-2010 Comsenz Inc.