Que se sepa, ni tú ni nadie. Por ejemplo la última vulnerabilidad conocida en el Sandboxie fue descubierta en el 2010. Da la casualidad de que la encontré yo mientras analizaba malwares. Desde entonces nadie ha sido capaz de crear un malware o un POC capaz de escribir en el disco duro real desde dentro de la sandbox. Y no será porque gente muy cualificada no lo haya intentado. Solo hay que ver el análisis que le hizo el amigo Vallejo:

http://vallejo.cc/48


Pareces olvidar que VirtualBox, VMWare, Sandboxie... no es software que haya sido publicado hace dos días. Cuentan con años de desarrollo y han sido escrutados por verdaderos especialistas en ingeniería inversa. ¿Qué posibilidades reales existen de que a estas alturas exista alguna forma de poder saltarse una máquina virtual o una sandbox y realizar acciones directamente en el host?

Hablas de elevación de privilegios. ¿De qué te sirve la elevación de privilegios dentro de una máquina virtual? ¿De qué te sirve la elevación de privilegios en un entorno controlado como es una sandbox donde ciertas acciones se restringen? Por ejemplo el Sandboxie no permite la ejecución de drivers dentro de la sandbox. Por muchos privilegios que eleves eso no te lo va a permitir hacer.


Veo que no acabas de entender que ya ha habido gente muy preparada que ha puesto esfuerzo y dedicación para saltarse el VMWare o el VirtualBox tratando de escribir en el host y no lo ha logrado.

Saludos.

Que haya bug en una parte del programa no significa que lo haya en la parte que aisla el host de los programas que corren en la máquina virtual.

Insisto: gente muy preparada han intentando saltar de la VM al host y en el pasado, hace años, lo han logrado, pero el número de vías posibles para hacer eso es limitado, no infinito, y por lo tanto en cuanto se han cerrado todas las vías posibles, ¿cuántas quedan? Pues obviamente 0.

Al menos estarás de acuerdo en que el número de formas distintas de hacerlo es un número finito, ¿no? 

Aquí la imaginación no vale de nada. Los agujeros son los que son y hay que saber encontrarlos.

De hecho el VirtualBox es de código abierto, con lo cual el código fuente está disponible y no hace falta hacer ingeniería inversa. Que a pesar de contar con el código fuente no salgan nuevas vulnerabilidades, ¿es que no te dice nada?

¿Y cuál de esos reportes se refiere a que puedas escribir en el host desde dentro de la máquina si se puede saber?


Una cosa es un sistema operativo y otra cosa es una máquina virtual. Te vuelvo a preguntar: ¿qué vulnerabilidades han aparecido en los últimos dos años que permitieran escribir en el host desde la máquina virtual en VirtualBox o en VMWare?


Nos lleva a responder la pregunta inicial: "Hola, estoy iniciándome en el tema de indetectar malware, mi pregunta es si modeando se puede evitar que te pille la heurística y el sandbox"

Y la respuesta es no, no se puede, a no ser que detectes que estás bajo un entorno de análisis y entonces abortes la ejecuación.

Bueno, si me apuras te diría que el malware realice acciones maliciosas solo a determinadas horas del día y que el resto del tiempo simplemente no haga nada para que así si es analizado por una herramienta de análisis de comportamiento lo más probable sea que no coincida la hora y por lo tanto el análisis dé negativo.

Lo que está claro es que si el malware realiza acciones maliciosas durante un análisis eso no hay modeo que se lo salte.