![](https://img-blog.csdnimg.cn/20201014180756926.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
Anti-SandBox
FFE4
业余病毒分析
展开
-
检测app.any.run沙箱运行环境
检测app.any.run沙箱环境,先写了个遍历进程的demo传上去,看看进程列表有什么沙箱特有的进程。 发现个进程很奇怪,路径是:c:\windows\system32\host.exe ,竟然没有随机名 正常的系统下是没有这个文件的,所以就拿这个来做了,效果图 检测代码: #include "stdafx.h" #include <windows.h> #include <string> #include <fstream> #include <iostre原创 2020-08-05 14:45:30 · 1358 阅读 · 0 评论 -
COM/DirectShow Audio device
一些病毒通过COM组件来检测沙箱环境 #include "stdafx.h" #include <windows.h> #include <dshow.h> #include <Strmif.h> #pragma comment(lib,"Strmiids.lib") int _tmain(int argc, _TCHAR* argv[]) { CoInit...原创 2019-09-03 23:15:08 · 438 阅读 · 0 评论