今天学到的一个思路,利用设备的属性,来判断是否为沙箱。即是否为即插即用设备。首先来看一下正常机器的设备属性:
再看一下虚拟机中的设备属性,这里使用的是VMware环境进行测试。
可以清楚的看到两者的区别。当然,也有大佬给出了powershell版本的检测方法:
Get-WmiObjectWin32_PnPSignedDriver
selectDeviceName
where{$_.DeviceName-like"*PnP*"}
在虚拟机中该语句将返回空。
武器化
这个检测方式其实是属于一种正常的功能,微软也在其官方文档中给出了示例代码,链接如下: