Hi, was bewirkt die Funktion Anti-Sandboxie die bei vielen cryptern eingebaut ist? Wird dann nur ne Fehlermeldung ausgegeben oder wird die Sandbox umgangen? Dann könnte ich ja besser eine VM benutzen.
Ergebnis 1 bis 8 von 8
Thema: Anti-Sandboxie?
Hybrid-Darstellung
-
13.04.2009, 17:00 #1Forenclown
- Registriert seit
- 27.07.2008
- Beiträge
- 599
Anti-Sandboxie?
-
13.04.2009, 17:02 #2Gesperrt
- Registriert seit
- 13.03.2009
- Beiträge
- 1.041
Das bewirkt dass der Stealer (als Beispiel) nicht in der Sandboxie startet.
Aber es gibt auch eine Anti-VM Funktion
-
13.04.2009, 17:05 #3Forenclown
- Registriert seit
- 27.07.2008
- Beiträge
- 599
Bewirkt er, dass er nicht startet oder dass er startet, aber nicht auf der Sandbox, sondern im richtigen System?
-
13.04.2009, 17:11 #4Capt'n Crunch
- Registriert seit
- 08.11.2008
- Beiträge
- 964
-
13.04.2009, 17:37 #5Rosa Armee Fraktion
- Registriert seit
- 20.02.2008
- Beiträge
- 107
woher weiss der crypter, ob in sandboxie gestartet wird oder nicht?
-
13.04.2009, 17:41 #6Swaggy Dude
- Registriert seit
- 28.03.2007
- Beiträge
- 2.112
Es wird gecheckt, ob Prozesse von Sandboxie aktiv sind.
#ichwurdezurückgehaltendamals #sheesh #burrr #scurrr #nohomo #turnup #eaglegang #byrdcall #glogangornogang #duschkabinenposse #codeincobracrew
-
13.04.2009, 17:44 #7Capt'n Crunch
- Registriert seit
- 08.11.2008
- Beiträge
- 964
Oder bei ganz faulen:
Es wird gecheckt, ob der Fenster-Titel des eigenen Programms mit "[#]" beginnt, und mit "[#]" wieder aufhöährt
-
13.04.2009, 19:02 #8I'm in ur VM.
- Registriert seit
- 23.07.2007
- Beiträge
- 1.038
... oder, noch am zuverlässigsten, ob die Sandboxie-DLL im Prozess geladen ist. Das überprüft man am besten anhand von Signaturen, nicht anhand irgendwelcher Strings (die jederzeit geändert werden können - so z. B. auch die Namen der Sandboxie-Prozesse bzw. -module).
I can haz RCE?
Zitieren
