系统安全工具软件 [2023]通过ACPI检测沙箱 ### 前言 最近 @Daax [公布](https://revers.engineering/evading-trivial-acpi-checks/ "公布")了一个关于ACPI检测虚拟机的方法,我对此比较感兴趣,于是研究了一下 阅读全文 2023-06-19 huoji 0 条评论
系统安全C/C++一线开发 [2021]利用错误的异常处理来检测基于cuckoo的沙箱 在上一篇文章中 [[2021]检测hypervisor -国内各大安全沙箱测评](https://key08.com/index.php/2021/07/03/1222.html "[2021]检测hypervisor -国内各大安全沙箱测评") 我要指正一个错误 那就是freebuf的和微步在线的沙箱并不是不支持icebp指令,而是因为他们是基于cuckoo的沙箱,而这个cuckoo的沙箱存在一个很明显的bug -**不会分发异常** 在沙箱里面启动进程的时候, cuckoo沙箱会注入一个monitor到进程里面通过hook监视进程操作,其中一个异常处理的hook实现如下: 阅读全文 2021-07-04 huoji 0 条评论
二进制安全C/C++汇编 [2021]检测hypervisor -国内各大安全沙箱测评 本次测评分别测评如下性能: 1. icebp指令模拟 https://key08.com/index.php/2021/05/13/1086.html: > mov ss会产生一个异常,但是这个异常会在下一个指令执行的时候再抛出.因此 他首先mov ss了,这样下一个指令才会执行异常, 到icebp的时候, mov ss造成的异常就应该被抛出了。但是同时icebp也会造成一个异常,而且异常优先级哎比mov ss的高,你说巧不巧.这样CPU就会处理icebp的异常而不处理mov ss的异常,但是mov ss的异常是必须要求dr6的single_instruction bit位(也就叫做DR6.BS位)为1的,要不然就炸。很遗憾的是icebp的异常他不会设置这个bs位,导致直接炸虚拟机.很多时候虚拟机在2004跑起来了结果一阵子就虚拟机guest机异常了就是这个毛病 2. 时间延迟检测 > 由于经过虚拟化的vmexit阶段,沙箱的退出时间会比真实的早 阅读全文 2021-07-03 huoji 0 条评论