病毒使用SetErrorMode检测沙箱的小技巧

最新推荐文章于 2024-05-27 19:04:44 发布
最新推荐文章于 2024-05-27 19:04:44 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: CuckooSanbox 文章标签: 检测沙箱 AntiSandbox CuckooSandbox
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cssxn/article/details/100142065
版权

以前分析GandCrab v5.2时,该样本通过SetErrorMode函数来检测是否运行在沙箱环境,具体代码如下:

在这里插入图片描述
程序入口逻辑:
在这里插入图片描述

写了个简单的demo,上传大cuckoosandbox沙箱中

#include "stdafx.h"
#include <windows.h>

int _tmain(int argc, _TCHAR* argv[])
{
    SetErrorMode(0x400);
    if (SetErrorMode(0x0) == 0x400)
    {
        printf("执行正常逻辑\n");
    }
    else
    {
        printf("检测到沙箱,退出进程\n");
    }

    system("pause");
	return 0;
}

沙箱运行结果:
在这里插入图片描述

在Cuckoo沙箱github项目上可以找到相关代码:
https://github.com/cuckoosandbox/monitor/blob/master/bin/monitor.c
在这里插入图片描述

参考链接:

  • https://asec.ahnlab.com/1202
  • http://joxeankoret.com/blog/2010/02/23/antiemulation-techniques-malware-tricks-ii/
FFE4
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
在线沙箱网站 在线恶意文件监测网站 病毒在线监测网站 apk分析在线网站
ShenZ的博客
07-29 8375
https://www.joesandbox.com/#windows 沙箱 https://www.hybrid-analysis.com/ https://habo.qq.com/index 腾讯哈勃分析,会把恶意行为列出来,如果测出函数也会列出来,我常常用来看apk啥的。 https://www.virscan.org/language/de/ 只能传20M以内的文件 ...
病毒分析快速入门01--分析环境搭建
morta1的博客
03-22 1536
小C无聊的躺在床上,刷着#开学#话题微博。 都怪这该死的疫情,开学一拖再拖,在教室后排偷看女神的机会又少了。 开学之日恐怕即是毕业之时了,小c 在失去女神背影患得患失的心情中,也不得不考虑 工作的问题。 回顾大学四年,小c所得称号最多得只有: “召唤师峡谷黑铁战五渣,海岛雨林人体描边大师”。 以及刚好及格得c语言,一点点汇编知识,OD F2下断点,f9运行,f7步进,f8步过。IDA F5。 想着...
基于深度学习的病毒检测技术无需沙箱环境,直接将样本文件转换为二维图片,进而应用改造后的卷积神经网络 Inception V4 进行训练和检测...
djph26741的博客
10-30 393
话题 3: 基于深度学习的二进制恶意样本检测 分享主题:全球正在经历一场由科技驱动的数字化转型,传统技术已经不能适应病毒数量飞速增长的发展态势。而基于沙箱检测方案无法满足 APT 攻击的检测需求,也受到多种反沙箱技术的干扰。在充分考察过各种技术方案的优劣后,瀚思科技开发出了基于深度学习的二进制病毒样本检测技术,可以做到沙箱同等水平的 99% 的检测准确率,而误报率低于 1/1000。...
病毒分析网站和沙箱查找记录
最新发布
you_get_me_there的博客
05-27 321
CAPE 沙箱 cuckoo替代品
病毒分析一(CUCKOO布谷鸟沙箱搭建)
风雨中做个大人,阳光下就做小朋友
12-12 757
CUCKOO搭建
如何利用沙箱进行恶意软件分析?
瓦罗兰特顶级C位的博客
03-09 868
恶意软件分析是研究恶意样本的过程。在研究过程中,研究人员的目标是了解恶意程序的类型、功能、代码和潜在危险。接收组织需要响应入侵的信息。
VC++ 经验技巧总结
05-29
11. **错误处理**:学会正确处理运行时错误,如使用SetErrorMode和GetLastError来获取系统错误信息,能够提供更好的用户体验。 12. **设计模式**:理解并应用常见的设计模式,如工厂模式、单例模式、观察者模式,...
阻止关机+一个阻止关机的小程序
10-09
这个标志可以通过`SetErrorMode()`函数设置,特别是使用`SEM_NOGPFAULTERRORBOX`和`SEM_FAILCRITICALERRORS`标志。 3. 使用`CancelShutdown`函数:此函数允许程序取消已经启动的关机或重启操作。不过,这通常需要...
win32完成画图小程序
05-22
【win32完成画图小程序】是一个基于Windows API(Win32 API)开发的简易图形绘制应用程序。这个程序提供了一系列基本的绘画工具,使用户能够进行简单的图形创作。以下是该程序涉及的关键技术点: 1. **Windows消息...
c++实现删除文件夹与文件的小工具
10-26
在C++编程中,删除文件或...在实现这样的小工具时,不仅要考虑到基本的删除操作,还要注意错误处理、权限管理和安全性,以确保程序的稳定性和可靠性。在实际项目中,可以将这些功能封装成类或库,便于复用和维护。
VC编程实例
09-26
在Windows编程中,学会使用GetLastErrorSetErrorMode等函数来识别和处理错误。 9. **多线程编程**: 对于复杂应用,多线程可以提高效率。VC++提供了创建和管理线程的API,如CreateThread和WaitForSingleObject。...
沙箱(安全软件)
01-01
沙箱:安全软件。 制造一个虚拟环境来运行软件,虚拟环境停止后,一切运行痕迹消失。
沙箱——SetErrorMode
weixin_30577801的博客
04-19 757
目录 1.前言 2.原理讲解 3.代码实现 4.参考 1.前言 利用SetErrorMode进行反沙箱的技术,在2010年就有被提出,但是之前搜了很久都没有相关内容,这里简单的说一下这个反沙箱的实现。反沙箱参考GandCrab5.2。 2.原理讲解 首先讲一下SetErrorMode这个函数,SetErrorMode是用于设置如何处理程序错误的,设置不同的值有不同的作用...
【多图超详细】从零开始安装配置Cuckoo sandbox并提交样本进行分析
VN520的博客
03-14 1516
*沙盒(Sanbox)**是一种将未知、不可信的软件隔离执行的安全机制。恶意软件分析沙盒一般用来将不可信软件放在隔离环境中自动地动态执行,然后提取其运行过程中的进程行为、网络行为、文件行为等动态行为,安全研究员可以根据这些行为分析结果对恶意软件进行更深入地分析。Cuckoo sandbox是一款用 Python和C/C++ 编写的开源的自动化恶意软件分析系统,且跨越Windows、Android、Linux和Darwin四种操作系统平台。
Cuckoo Sandbox - 一个自动化恶意软件分析系统
gitblog_00059的博客
03-14 443
Cuckoo Sandbox - 一个自动化恶意软件分析系统 项目简介 Cuckoo Sandbox 是一个开源的自动化恶意软件分析系统。它可以帮助安全研究人员、企业和组织快速、准确地分析可疑文件的行为、网络流量和其他相关数据。通过在隔离的虚拟环境中运行文件并记录其行为,Cuckoo Sandbox 可以提供全面的报告,揭示恶意软件的功能和潜在威胁。 项目链接:https://gitcode.co...
自动化恶意软件分析系统Cuckoo安装、配置详解
D_R_L_T的博客
01-28 6123
0×00 简述  沙盒(Sanbox) 是一种将未知、不可信的软件隔离执行的安全机制。恶意软件分析沙盒一般用来将不可信软件放在隔离环境中自动地动态执行,然后提取其运行过程中的进程行为、网络行为、文件行为等动态行为,安全研究员可以根据这些行为分析结果对恶意软件进行更深入地分析。 Cuckoo 是一款用 Python 编写的开源的自动化恶意软件分析系统,它的主要功能有: 跟踪
软件沙箱技术 – 安全分析沙箱Cuckoo Sandbox
热门推荐
abcd1f2的专栏
01-15 1万+
1.Cockoo的功能 Cockoo Sandbox是开源安全沙箱,基于GPLv3。目的是恶意软件(malware analysis)分析。使用的时候将待分析文件丢到沙箱内,分析结束后输出报告。很多安全设备提供商所谓云沙箱是同类技术,一些所谓Anti-APT产品也是这个概念。和传统AV软件的静态分析相比,Cuckoo动态检测。扔到沙箱的可执行文件会被执行,文档会被打开,运行中检测。和不少开源
cuckoo sandbox如何使用
qq_44483628的博客
05-05 1068
文章目录前言一、使用步骤1.准备好恶意代码2.启动virtual box 虚拟机3.启动沙盒4.接着就可以提交分析了二、结果总结 前言 历经千辛万苦,cuckoo sandbox安装终于完成了,接下来就可以使用了! 一、使用步骤 1.准备好恶意代码 一个下载地址(无需注册,很方便):https://bazaar.abuse.ch/browse/ 我选用的: (1)SHA256 bedb4c3914d8365e11b7dd7b8d208e4d63ae6ac4dff4316ce2638b429e3d1e65
SetErrorMode沙箱
06-08
SetErrorMode 函数本身并不能直接用来反沙箱,但是可以通过它来检测当前程序是否运行在沙箱环境中。 在沙箱环境中,一些操作可能被限制或者被重定向到虚拟的文件系统或注册表中,因此可以通过尝试访问某些系统资源...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值