.
-
NoUser
Re: Sandbox erkennen [Ideen gesucht]
.
Zuletzt geändert von NoUser am 01.09.2012 07:22, insgesamt 3-mal geändert.
Re: Sandbox erkennen [Ideen gesucht]
Der Code zeigt ne gute Idee, lässt sich aber auf 5 Zeilen zusammenschrumpfen. ^^
Zu mir kommen behinderte Delphine um mit mir zu schwimmen.
Wir fordern mehr Aufmerksamkeit für umfallende Reissäcke!
Wir fordern mehr Aufmerksamkeit für umfallende Reissäcke!
Re: Sandbox erkennen [Ideen gesucht]
Hallo,
oh je, irgendwie denken die Autoren von solchen Codes wohl immer, das Anomalien von Sandboxen nicht auch im regulären Windows betrieb vorkommen können. So überprüft dieser Code ob der Parent Prozess nicht mehr existiert. Nur was ist daran abnormal, wenn der Prozess, der das Programm gestartet hat sich beendet ?
Als kleines Beispiel, kannst du eine Batch Datei mit folgendem Inhalt machen:
Wusste gar nicht das man so einfach ne Sandbox bekommt 
Und nun um etwas in einer Sandbox auszuführen und dafür zu sorgen, das es nicht erkannt wird:
einfach cmd.exe in der Sandbox starten und das programm damit starten und schon hat man einen Parent Prozess.
Der Name für die Festplatten der Virtual Machine sind auch nicht mehr ganz up to date, bei mir ergab sich folgendes:
VBOX + Sandboxie:
hier in groß: http://darkx-network.de/dl/vbox1.png
hier in groß: http://darkx-network.de/dl/vbox2.png
Ich würde den code daher auf 0 Zeilen zusammenschrumpfen esseiden du willst einen Placebo Effekt
mfg,
Dark
oh je, irgendwie denken die Autoren von solchen Codes wohl immer, das Anomalien von Sandboxen nicht auch im regulären Windows betrieb vorkommen können. So überprüft dieser Code ob der Parent Prozess nicht mehr existiert. Nur was ist daran abnormal, wenn der Prozess, der das Programm gestartet hat sich beendet ?
Als kleines Beispiel, kannst du eine Batch Datei mit folgendem Inhalt machen:
Code: Alles auswählen
start Projekt1.exe
Und nun um etwas in einer Sandbox auszuführen und dafür zu sorgen, das es nicht erkannt wird:
einfach cmd.exe in der Sandbox starten und das programm damit starten und schon hat man einen Parent Prozess.
Der Name für die Festplatten der Virtual Machine sind auch nicht mehr ganz up to date, bei mir ergab sich folgendes:
VBOX + Sandboxie:
hier in groß: http://darkx-network.de/dl/vbox1.png
hier in groß: http://darkx-network.de/dl/vbox2.png
Ich würde den code daher auf 0 Zeilen zusammenschrumpfen esseiden du willst einen Placebo Effekt
mfg,
Dark
Mein Blog: http://fds-team.de/cms/
-
NoUser
Re: Sandbox erkennen [Ideen gesucht]
.
Zuletzt geändert von NoUser am 01.09.2012 07:23, insgesamt 1-mal geändert.
Re: Sandbox erkennen [Ideen gesucht]
Ja am besten mit einem MessageRequester, damit man im OllyDebugger nicht mehr suchen brauchmarroh hat geschrieben:Wenn später mein Programm beim Kunden eben nicht "normal" per Startmenü-Verknüpfung gestartet wird, so kann ich ja eine entsprechenden Meldung ausgeben.
Naja, wenn du es akzeptierst Kunden auszusperren, die eine alternative Taskbar verwenden, wie z.B. SystembarEx, BBSystemBar oder gar eine ganz andere Shell (die teilweise auch Geld kostet), mag dein erster Test in Ordnung sein. Genau so verbietest du dem Kunden damit, dein Programm in der Registry für den Autostart einzutragen.
Auch wenn ich nicht glaube, dass ich dich von dieser Idee das Programm mit Checks voll zu stopfen noch abbringen kann, kann ich dir jedoch garantieren, dass diese Methoden niemanden mit mindestens 2 Minuten Geduld davon abhalten wird, dein Programm in einer Sandbox/VM zu nutzen, sondern nur deine Kunden in Probleme bringt. Man sollte auch noch bedenken, dass auch größere Firmen teilweise Sicherheitssoftware verwenden, die z.B. den Festplattenzugriff einschränkt, und demnach auch Sandbox-ähnliche Methoden verwendet. Ich würde eher auf ein anderes Sicherheitskonzept zurückgreifen.
Für alternative Methoden, müsste man aber mehr Informationen über das Programm wissen.
mfg,
DarkPlayer
Mein Blog: http://fds-team.de/cms/