通过给api传递特定的参数,让其返回特定的值。如果沙箱模拟api函数有缺陷的话,就可以用来检测沙箱是否存在。
样本执行CoRevokeMallocSpy后,将返回值存储在dword_4341A8,再申请内存,拿这个值进行解密代码。如果返回值eax不等于0x800401FB,则代码解密错误,产生异常。
图1 CoRevokeMallocSpy
解决方案:模拟特定的参数,使其返回特定的值。
hash:ec325f5fb25f0620f4de72a202ca720b3f68f9ae
通过给api传递特定的参数,让其返回特定的值。如果沙箱模拟api函数有缺陷的话,就可以用来检测沙箱是否存在。
样本执行CoRevokeMallocSpy后,将返回值存储在dword_4341A8,再申请内存,拿这个值进行解密代码。如果返回值eax不等于0x800401FB,则代码解密错误,产生异常。
图1 CoRevokeMallocSpy
解决方案:模拟特定的参数,使其返回特定的值。
hash:ec325f5fb25f0620f4de72a202ca720b3f68f9ae