反沙箱的初探

已于 2023-02-06 18:54:57 修改
阅读量404 收藏
点赞数
分类专栏: 反沙箱的研究 文章标签: 安全威胁分析 系统安全 网络安全 Powered by 金山文档
于 2023-02-04 13:15:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/padandf/article/details/128880853
版权

最近在工作中遇到了很多反沙箱的技术,每种技术点各不相同,但是原理都大同小异,都是利用沙箱和原生系统的差异,从而使样本在沙箱中执行错误的分支或者抛异常,核心的代码和数据没有解密出来,导致样本没有被检测出来。

反沙箱的方式很多,以后会不断更新和发展。研究反沙箱的意义在于可以使沙箱更接近于原生系统,让更多的样本跑到核心代码处,方便安全人员分析样本功能。对于众多的反沙箱技术,我只了解了一些,如果有不当或者新的方式,请不吝指正。在后续文章中,我会详细分析以下反沙箱的技术。

方式1:调用冷门的api

方式2: 利用api模拟的差异

方式3:特定偏移的值

方式4:关联api问题

方式5:使用异常的参数

方式6:特殊的指令

......

Y&Q_5.30
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
沙箱原理介绍,沙箱的分类
08-05
逃逸对抗技术(也称为沙箱逃逸技术)旨在模拟真实的运行环境,使恶意程序无法察觉其处于沙箱之中。这包括模拟硬件环境、系统时间、用户行为以及处理特定的CPU指令。通过这种方式,逃逸对抗技术能够诱使恶意代码...
沙箱方法
SHELLCODE_8BIT的博客
07-20 1147
1.1主机指纹特征。1.2主机流量特征。
沙箱对抗之沙箱技巧
SHELLCODE_8BIT的博客
10-22 974
我们经常会在红蓝对抗中遇到这种场景,离线免杀,但是10分钟又被杀,这就是云查杀的威力,而云查杀可以分为下列两种:1.静态分析2.动态分析。
虚拟机、沙箱技术整理汇总
人饭子的博客
11-06 1237
虚拟机、沙箱技术整理汇总安全狗的⾃我修养 2022-11-06 15:49 虚拟机、沙箱技术整理汇总 延迟执⾏ 因为沙箱对样本运⾏时间有限制,使⽤已知的windows Api(例如NtDelayExecution, CreateWaitTableTImer,SetTimer等)将恶意代码的执⾏延迟了⼀段时间。 延迟执⾏ -GetTickCount 检查机器运⾏时间,创建超过设定时间的快照...
花式沙箱
最新发布
moresec的博客
01-12 1354
目前沙箱正成为判断恶意威胁的一种最快速和最简单的方式,因此沙箱检测在实战中发挥越来越重要的作用,无论是从溯源还是延长加载器寿命的角度,沙箱都是红蓝对抗中不可或缺的一环。我会着重讲解我觉得有趣的手法,当然有趣不等于实用,如果你分析过APT组织的样本,会发现那些原理简单且有效的方法会被更多的使用(比如主机名/用户名/进程黑名单,环境检测,用户交互检测等),这些方法往往都是复合使用的,因为很难有一种方法可以适用所有场景。出于学习的目的我们应该都了解一下。
沙箱——SetErrorMode
weixin_30577801的博客
04-19 748
目录 1.前言 2.原理讲解 3.代码实现 4.参考 1.前言 利用SetErrorMode进行沙箱的技术,在2010年就有被提出,但是之前搜了很久都没有相关内容,这里简单的说一下这个沙箱的实现。沙箱参考GandCrab5.2。 2.原理讲解 首先讲一下SetErrorMode这个函数,SetErrorMode是用于设置如何处理程序错误的,设置不同的值有不同的作用...
免杀对抗-沙盒+调试
xiaoheizi的博客
10-07 1041
为了逃避沙箱/安全人员的检测,恶意软件使用了各类识别沙箱/虚拟机的技术,用于判断自身程序是否运行在沙箱/虚拟机中。其中比较有效的方案是动态沙箱检测技术,即通过在沙箱中运行程序并观察程序行为来判断程序是否为恶意程序。3.将重新生成的受保护的exe程序再次使用ollydbg调试,可以看到已经不能正常调试了。4.将exe程序放到虚拟机中无法运行,证明代码成功检测出当前处在虚拟环境中。3.msf设置监听,在真机运行exe程序,msf成功上线。3.将exe程序上传到虚拟机,exe程序无法运行。
如何应对沙箱环境中的沙箱技术?
图幻未来的博客
12-27 419
本文将分析沙箱技术的原理和影响,并提出相应的解决方案。1. **性能下降**:由于沙箱技术需要模拟复杂的操作系统和环境,因此会消耗更多的计算资源,导致应用程序的性能下降。4. **加强安全监测**:加强对应用程序的安全监测,及时发现并处理潜在的恶意行为,可以有效减轻沙箱技术带来的影响。2. **兼容性降低**:沙箱技术可能会导致应用程序与宿主机之间的兼容性问题,因为它们是在不同的环境中运行的。1. **优化代码**:通过优化应用程序的代码,可以减少潜在的安全漏洞,从而减少沙箱技术检测到的可能性。
SpringBoot+Vue支付宝沙箱支付
06-16
本项目“SpringBoot+Vue支付宝沙箱支付”旨在教你如何在SpringBoot后端与Vue前端环境中实现支付宝的沙箱测试环境支付功能,从而在不涉及真实交易的情况下测试支付流程的完整性和安全性。 首先,我们需要了解什么是...
Sandboxie隔离沙箱
04-29
Sandboxie官方版 电脑就像一张纸,程序的运行与改动,就像将字写在纸上。而Sandboxie就相当于在纸上放了块玻璃,程序的运行与改动就像写在了那块玻璃上,除去玻璃,纸上还是一点改变都没有的。
ShellcodeLoader:将shellcode用rsa加密并动态编译exe,自带多个沙箱技术
03-19
ShellcodeLoader 将shellcode用rsa加密并动态编译exe,自带多个沙箱技术。 如果要用.NET 2.0编译请手动编译,csc不支持某些代码 沙箱 判断父进程是否为调试器 判断时间是否加速 一般沙盘内的程序时间都会加速。 判断进程是否有黑名单 判断是不是虚拟机,不过有几个vm进程是本机也会存在的,怕误报可以手动修改黑名单列表。 判断MAC地址是否有黑名单 判断是不是虚拟机的mac地址,有几个地址只要本机有装虚拟机也会有,怕误报可以手动修改黑名单。 判断系统盘是否大于50GB 一个正常的PC的系统盘都会大于50GB。 使用 一般的: 运行生成的exe文件 争论: 程序会保存加密好的数据到Output.txt shellcode.exe“私钥”“加密shellcode” 更新 20200709: 新增x86远程注入(直接复制CACTUSTORCH的) 已知问题 远程
anti-sandbox:Windows对抗沙箱和虚拟机的方法总结
03-09
沙箱 Windows对抗沙箱和虚拟机的方法总结 方法总结 功能 功能 备注 checkCPUCores 检查CPU核心数 检查CPU温度 检查CPU温度 需要管理员权限 checkDomain 检测域名 原理未知,测试不成功 检查MAC 检测MAC地址 checkMemory 检测内存大小 checkPhyDisk 检测磁盘大小 需要管理员权限 checkProcess 检测进展 checkPath 检测阳离子和文件路径 可能需要管理员权限 checkSerivce 检测服务 checkUptime 检测开机时间 checkCPUID 使用CPUID指令 checkTempDir 检测TEMP目录下的文件数量 checkHardwareInfo 检测主板序列号,主机型号,系统盘所在磁盘名称等硬件信息 checkSpeed 检测代码运行时间差 需手动指定正常时间差,较困难 checkNoP
支付宝沙箱环境 支付宝沙箱环境
10-29
支付宝沙箱环境
JS沙箱模式实例分析
10-19
主要介绍了JS沙箱模式,结合实例形式分析了JS沙箱模式的原理与实现方法,需要的朋友可以参考下
沙箱初探-函数实现5
padandf的博客
02-04 107
沙箱
沙箱CobaltStrike木马加载器分析
墨痕诉清风的博客
06-13 1626
1.计算Sleep类函数延时时间与实际流逝时间是否匹配可判断环境是否为正常。对沙箱来说,跳过Sleep节约时间成本是有必要的不可省去,但可适当处理GetTickCount类函数,使其与延时时间匹配。2.对于动态解密,打好断点动态分析比静态分析省时间,至少对我这种刚上路的菜狗来说是这样。3.CertEnumSystemStore可作为CertEnumSystemStore替代品用于执行Shellcode。近日,笔者参加了浙江护网,在攻击队停止攻击的那一天凌晨,Windows服务器被攻破大量失分,早晨溯源时拿到
Hyperledger Avalon --01
qq_39251759的博客
11-06 626
什么是Hyperledger Avalon? Hyperledger Avalon支持区块链交易中的隐私,将密集处理从主区块链转移到可扩展性和延迟,并支持经过认证的Oracle。 什么是链外可信计算规范? 链下可信计算规范(TCS)定义了链下计算事务,这些事务可以私下进行计算并且可信。这些交易可能会或可能不会与区块链相关联。Avalon实现了TCS。 代理模式和直接模式有什么区别? 代理模式是请求者(客户端)在区块链上执行智能合约(或链码或类似代码)的地方。智能合约事件调用Avalon,Avalon通过该区
沙箱初探-函数实现4
padandf的博客
02-04 219
沙箱
沙箱初探-函数实现3
padandf的博客
02-04 103
沙箱初探
SetErrorMode 沙箱
06-08
SetErrorMode 函数本身并不能直接用来沙箱,但是可以通过它来检测当前程序是否运行在沙箱环境中。 在沙箱环境中,一些操作可能被限制或者被重定向到虚拟的文件系统或注册表中,因此可以通过尝试访问某些系统资源来判断程序是否运行在沙箱环境中。比如,在程序的入口处加入以下代码: ``` #include <Windows.h> int WINAPI WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nShowCmd) { // 设置错误模式为 SEM_FAILCRITICALERRORS | SEM_NOGPFAULTERRORBOX | SEM_NOOPENFILEERRORBOX SetErrorMode(SEM_FAILCRITICALERRORS | SEM_NOGPFAULTERRORBOX | SEM_NOOPENFILEERRORBOX); // 检查是否运行在沙箱环境中 HANDLE hFile = CreateFileW(L"C:\\Windows\\system32\\kernel32.dll", GENERIC_READ, FILE_SHARE_READ, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL); if (hFile == INVALID_HANDLE_VALUE) { // 运行在沙箱环境中 // 可以在这里加入沙箱代码 } else { // 不运行在沙箱环境中 CloseHandle(hFile); } // 程序其余代码 return 0; } ``` 这里尝试访问系统目录下的 kernel32.dll 文件,如果当前程序运行在沙箱环境中,这个文件可能被重定向到虚拟文件系统中,因此无法打开,CreateFileW 函数将返回 INVALID_HANDLE_VALUE。如果程序不运行在沙箱环境中,这个文件可以正常打开,并且返回的句柄不是 INVALID_HANDLE_VALUE。在程序的入口处对是否运行在沙箱环境中进行检测后,您可以加入相应的沙箱代码。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值