反虚拟机沙箱恶意代码分析

最新推荐文章于 2024-08-20 22:29:21 发布
最新推荐文章于 2024-08-20 22:29:21 发布
阅读量3.4k 收藏 7
点赞数
分类专栏: 恶意代码分析 文章标签: 虚拟机 沙箱 恶意代码分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chenchen0708/article/details/10061293
版权
本文探讨了恶意代码如何检测并规避虚拟机和沙箱环境以逃避分析。通过识别系统注册表、文件系统、进程、I/O虚拟化接口和x86敏感指令,恶意代码能够识别出VMware等虚拟机。同时,恶意代码还利用操作系统信息、样本路径等检测沙箱。据统计,具有虚拟机识别行为的恶意代码比例较高,而沙箱检测行为也在增加。
摘要由CSDN通过智能技术生成


        随着高级可持续攻击威胁对抗技术的不断发展,针对恶意代码进行分析,检测未知恶意代码,经常利用虚拟机技术。RSA展会也有很多安全厂商使用这些技术进行反APT分析,传统的反病毒厂商和僵尸网络追踪团队也都利用虚拟机进行大量的分析获取样本运行的海量信息进行分析处理。厂商们所使用的虚拟机软件通常包括VMware、VirtualBox等,这些虚拟机可以在一台物理计算机上模拟出多台虚拟的计算机,这些虚拟机完全就像真正的计算机那样进行工作。攻击者为了逃避这些虚拟机以及病毒分析沙箱,会在恶意程序中加入检测虚拟机及沙箱的代码,以判断程序所处的运行环境。当发现程序处于虚拟机沙箱中时,它就会改变操作行为隐蔽恶意动作,逃避检测。

        虚拟机识别包括对系统的注册表、文件系统、进程识别。虚拟机的注册表中会记录虚拟机信息相关的键值,文件系统中有与虚拟机相关的文件、文件夹,任务进程中,也会运行一些特殊的进程,这类进程名可作为识别虚拟机检测的依据。例如判断%System32\drivers\目录下是否存在hgfs.sysprleth.sysvmhgfs.sys驱动文件,其中hgfs.sys

最低0.47元/天 解锁文章
chenchen0708
关注
专栏目录
GoPass系列免杀基础(一)_go语言免杀
2401_86372325的博客
09-07 503
这是一个以 C++ 为语言的加载器,C++ 有很多 Shellcode 加载器,远程注入等等多种多样的,有些被杀软特征记录,那么就需要换一个不被记录的。
恶意代码分析实战 14 虚拟机技术
农夫果园好好喝的博客
01-25 727
恶意代码用存在漏洞的x86指令来确定自己是否运行在虚拟机中。使用IDA载入脚本文件。给出了地址。第一处:这串字符串进行了修改。查看调用函数的位置。使用OD查看,EAX被赋值为了00DDCC000h,将会跳转,而不会创建线程。第二处:检测虚拟机特征。检测到之后,删除自身。第三处:检测到之后不会执行创建服务的操作。使用OD检查可知,所有的操作都会失效。可能与虚拟机的内核数量有关。sidt指令:多核机器上进行实验,ECX寄存器的值不是0xFF,所以失效。
沙箱 病毒分析 IOCs 威胁情报分析平台
最新发布
weixin_72800795的博客
08-20 23
思科Talos情报组织-Cisco Talos Intelligence Group。沙箱 病毒分析 IOCs 威胁情报分析平台。CNTD网络安全威胁情报共享平台。venuseye威胁情报中心。山石云瞻 威胁情报中心。卡巴斯基威胁情报分析。腾讯安全威胁情报中心。
Camus:Reverse_Shell在C ++中实现,可以绕过沙箱
04-02
加缪 Reverse_Shell用C ++实现,能够通过检测鼠标移动来绕过沙箱 特征: 通过C ++实现的Reverse_shell 通过识别鼠标移动来绕过沙箱 动态API解析,可绕过静态分析 零检测率(在发言时) 使用方法:以IP地址和端口作为输入来运行程序,例如:Camus.exe 192.168.1.1 555
沙箱——SetErrorMode
weixin_30577801的博客
04-19 762
目录 1.前言 2.原理讲解 3.代码实现 4.参考 1.前言 利用SetErrorMode进行沙箱的技术,在2010年就有被提出,但是之前搜了很久都没有相关内容,这里简单的说一下这个沙箱的实现。沙箱参考GandCrab5.2。 2.原理讲解 首先讲一下SetErrorMode这个函数,SetErrorMode是用于设置如何处理程序错误的,设置不同的值有不同的作用...
沙箱虚拟机   调试  所用黑名单
makaisghr的专栏
03-04 719
沙箱虚拟机 调试 所用黑名单 BLOCKLISTED USERNAMES AND COMPUTER NAMES Blocklisted keywords for username and computername: 15pb 7man2 stella f4kh9od willcarter biluta ehwalker hong lee joe cage jonathan kindsight malware peter miller petermiller ...
简单的虚拟机测试代码
LLC
05-10 4016
.text:00401400 .text:00401400 ; =============== S U B R O U T I N E ======================================= .text:00401400 .text:00401400 ; Attributes: bp-based frame .text:00401400 .text:00401400 sub
沙箱初探-函数实现4
padandf的博客
02-04 239
沙箱
基于Android平台的恶意代码行为分析研究.pdf
06-21
三、沙箱技术:沙箱技术是指在虚拟机层应用动态分析技术来分析恶意代码的方法,该方法可以在虚拟机层嵌入标签,并对敏感数据源流出的数据进行跟踪。在实现该方法的过程中,首先需要分析恶意代码常用的数据源和程序...
2017年恶意代码威胁回顾和快速分析实践.pdf
08-08
3.调试/虚拟机/沙箱技术 anti-debug anti-vm anti-sandbox 4.shellcode分析技巧 loader shellcode to exe scdbg 5.finspy x86混淆 代码虚拟化 6.其它一些有助于分析的工具和脚本 7.代码混淆技术 8.NotPetya...
anti-sandbox:Windows对抗沙箱虚拟机的方法总结
03-09
沙箱 Windows对抗沙箱虚拟机的方法总结 方法总结 功能 功能 备注 checkCPUCores 检查CPU核心数 检查CPU温度 检查CPU温度 需要管理员权限 checkDomain 检测域名 原理未知,测试不成功 检查MAC 检测MAC地址 checkMemory 检测内存大小 checkPhyDisk 检测磁盘大小 需要管理员权限 checkProcess 检测进展 checkPath 检测阳离子和文件路径 可能需要管理员权限 checkSerivce 检测服务 checkUptime 检测开机时间 checkCPUID 使用CPUID指令 checkTempDir 检测TEMP目录下的文件数量 checkHardwareInfo 检测主板序列号,主机型号,系统盘所在磁盘名称等硬件信息 checkSpeed 检测代码运行时间差 需手动指定正常时间差,较困难 checkNoP
沙箱Sandboxie 逆向完整源码
08-15
沙箱Sandboxie v3.40 逆向完整源码
沙箱技术在恶意代码分析中的应用
# 1. 沙箱技术概述 ## 1.1 什么是沙箱技术 沙箱技术是一种安全机制,用于隔离运行...在恶意代码分析中,沙箱技术可以帮助安全研究人员分析恶意代码的行为和特征,发现潜在的威胁,并及时采取相应的防御措施。通过沙
[系统安全] 四十九.恶意软件分析 (5)Cape沙箱分析结果Report报告的API序列批量提取详解
杨秀璋的专栏
04-11 3120
系统安全将更好地帮助初学者了解病毒逆向分析和系统安全。前文详细介绍Cape沙箱批量分析,通过调用Python脚本文件submit.py来实施批量处理。这篇文章将讲解如何将Cape沙箱分析结果Report报告的API序列批量提取,主要是提取Json文件的内容并存储至指定位置。基础性文章,希望对您有帮助,如果存在错误或不足之处,还请海涵。且看且珍惜!
汇总病毒样本的常用调试技术、分析技巧(持续更新)
ATree的博客
09-06 1236
自己在看到一些没见过的调试技术时,感觉很好奇,不清楚时如何调试的,但是还是会很努力的去弄懂它们,现在呢,我希望记录下我见过的一些调试手段,这样后面大家如果碰到类似的调试技术时,都会很容易理解这段恶意代码的作用了。 1、下图中是通过检测kernel32.dll模块中是否有导出wine_get_unix_file_name函数,来判断当前环境是否是Wine模拟器环境 2、下图中的v3的...
沙箱方法
SHELLCODE_8BIT的博客
07-20 1169
1.1主机指纹特征。1.2主机流量特征。
虚拟机沙箱技术整理汇总
人饭子的博客
11-06 1313
虚拟机沙箱技术整理汇总安全狗的⾃我修养 2022-11-06 15:49 虚拟机沙箱技术整理汇总 延迟执⾏ 因为沙箱对样本运⾏时间有限制,使⽤已知的windows Api(例如NtDelayExecution, CreateWaitTableTImer,SetTimer等)将恶意代码的执⾏延迟了⼀段时间。 延迟执⾏ -GetTickCount 检查机器运⾏时间,创建超过设定时间的快照...
沙箱CobaltStrike木马加载器分析
墨痕诉清风的博客
06-13 1671
1.计算Sleep类函数延时时间与实际流逝时间是否匹配可判断环境是否为正常。对沙箱来说,跳过Sleep节约时间成本是有必要的不可省去,但可适当处理GetTickCount类函数,使其与延时时间匹配。2.对于动态解密,打好断点动态分析比静态分析省时间,至少对我这种刚上路的菜狗来说是这样。3.CertEnumSystemStore可作为CertEnumSystemStore替代品用于执行Shellcode。近日,笔者参加了浙江护网,在攻击队停止攻击的那一天凌晨,Windows服务器被攻破大量失分,早晨溯源时拿到
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值