最近在工作中遇到了很多反沙箱的技术,每种技术点各不相同,但是原理都大同小异,都是利用沙箱和原生系统的差异,从而使样本在沙箱中执行错误的分支或者抛异常,核心的代码和数据没有解密出来,导致样本没有被检测出来。
反沙箱的方式很多,以后会不断更新和发展。研究反沙箱的意义在于可以使沙箱更接近于原生系统,让更多的样本跑到核心代码处,方便安全人员分析样本功能。对于众多的反沙箱技术,我只了解了一些,如果有不当或者新的方式,请不吝指正。在后续文章中,我会详细分析以下反沙箱的技术。
方式1:调用冷门的api
方式2: 利用api模拟的差异
方式3:特定偏移的值
方式4:关联api问题
方式5:使用异常的参数
方式6:特殊的指令
......