沙箱测试,用于测评国内常见沙箱的代码

1. icebp指令模拟 https://key08.com/index.php/2021/05/13/1086.html:

mov ss会产生一个异常，但是这个异常会在下一个指令执行的时候再抛出.因此 他首先mov ss了,这样下一个指令才会执行异常, 到icebp的时候, mov ss造成的异常就应该被抛出了。但是同时icebp也会造成一个异常，而且异常优先级哎比mov ss的高,你说巧不巧.这样CPU就会处理icebp的异常而不处理mov ss的异常，但是mov ss的异常是必须要求dr6的single_instruction bit位(也就叫做DR6.BS位)为1的,要不然就炸。很遗憾的是icebp的异常他不会设置这个bs位,导致直接炸虚拟机.很多时候虚拟机在2004跑起来了结果一阵子就虚拟机guest机异常了就是这个毛病

2. 时间延迟检测

由于经过虚拟化的vmexit阶段,沙箱的退出时间会比真实的早

3. cpuid检测 https://secret.club/2020/04/13/how-anti-cheats-detect-system-emulation.html

一种类似于保留 MSR 地址范围的快速方法是检查保留CPUID响应与它们通常的值。例如，40000000h是由架构标记为保留的 CPUID 叶子，最常用于 VMM 的报告功能。有两个选项可以检查无效的eax或返回相同数据的eax。

4.单步检测 https://howtohypervise.blogspot.com/2019/01/a-common-missight-in-most-hypervisors.html

腾讯哈勃 https://habo.qq.com/file/showdetail?pk=ADcGYF1vB24IOFs8U2s%3D

奇安信: https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AXprRYp1qO1C-f6P9JVe&env=&time=&sha1=0666775c8eb67fbd87c99a54cb7968084573c709

freebuf: https://sandbox.freebuf.com/reportDetail?fileSha1=0666775c8eb67fbd87c99a54cb7968084573c709

微步在线: https://s.threatbook.cn/report/file/6d244d4978f8b8b67aa338ee3fef23e30198fc554a3ed225fea734efa118ea59/?env=win7_sp1_enx64_office2013

virustotal: https://www.virustotal.com/gui/file/fbdbf6716b19de8607064abaf69fb5f157be34b328dd62cbbf0d6f874d9e04d3/behavior/Microsoft%20Sysinternals%20Sysmon

其中,freebuf和微步在线的沙箱均无法分析出icebp指令之后的内容(可能是不支持这个指令,但是崩溃地点是pushfq,应该是指令模拟的问题~ 得问问做这个沙箱的小哥是怎么回事了),因此我多次测试了几次, https://s.threatbook.cn/report/file/18fc971fd8b097331322c0fc815bfba26f8427a15ffb16f34ee869065d3cabc4/?env=win7_sp1_enx64_office2013

https://sandbox.freebuf.com/reportDetail?fileSha1=529fc26cc6e8c9ff4158a9b45755279502afdc9b 均崩溃或者无法继续执行:

奇安信与VT的沙箱对于cpuid和rdtsc模拟不够好,但没有在icebp指令崩溃:

腾讯哈勃表现最好,只有rdtsc指令模拟不够好,其他的均不错

freebuf = 微步在线 < 奇安信 = VirtusTotal < 腾讯哈勃 仅仅代表本次测试结果,不排除测试不严谨导致的问题

测试结论: https://key08.com/index.php/2021/07/03/1222.html