反沙箱初探-函数实现5

已于 2023-02-06 19:32:39 修改
阅读量123 收藏
点赞数
分类专栏: 反沙箱的研究 文章标签: 安全威胁分析 系统安全 网络安全 Powered by 金山文档
于 2023-02-04 15:51:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/padandf/article/details/128882570
版权
文章讨论了在执行API函数如OpenProcess后,栈空间分布的差异如何成为反沙箱手段。当进程ID为0xffffffff时,正常情况下栈中存储的是ID值,但在沙箱环境中则存储返回地址,导致计算错误和执行异常。解决方案是确保沙箱环境能正确模拟栈空间的行为。栈空间的利用,包括其地址范围、大小和内容分布,是检测和规避沙箱的关键因素。
摘要由CSDN通过智能技术生成

执行api函数时或者执行api函数后,如果栈空间的分布存在差异,也会是一种反沙箱的手段。

样本调用OpenProcess时,传入进程ID值为0xffffffff,执行完OpenProcess后,[esp-0x1c]存储ID值,使用ID值计算出跳转的位置。但是在沙箱中,[esp-0x1c]却存储了返回地址的值,导致计算跳转地址出错,执行异常。

图1 OpenProcess

解决方案:若传入进程ID值为0xffffffff,执行完OpenProcess后,将进程ID的值填入[esp-0x1c]。

hash:d4b6f381f2a8cc0dd3701a94561e143633789e27

栈空间可以利用点很多,包括栈的地址范围,栈申请的大小,栈内容的分布等如果模拟不够好,就可以利用这些差异,进行反沙箱。

Y&Q_5.30
关注
专栏目录
沙箱方法
SHELLCODE_8BIT的博客
07-20 1163
1.1主机指纹特征。1.2主机流量特征。
LLM大模型工程入门级知识初探
互联网大厂后端码农,个人IP:无一郎的技术圈,欢迎加入我的知识星球,解锁更多内容
12-23 1066
机缘巧合下自己的接触了大模型相关的研发工作,顺便调研总结一下大模型工程方向可能涉及到的行业热点方向与基础入门知识,还有一些的专业词汇的解释,有时候自己主动探索某个方向是一种乐趣,感兴趣就都可以了解一下。
基于深度学习的病毒检测技术无需沙箱环境,直接将样本文件转换为二维图片,进而应用改造后的卷积神经网络 Inception V4 进行训练和检测...
djph26741的博客
10-30 402
话题 3: 基于深度学习的二进制恶意样本检测 分享主题:全球正在经历一场由科技驱动的数字化转型,传统技术已经不能适应病毒数量飞速增长的发展态势。而基于沙箱的检测方案无法满足 APT 攻击的检测需求,也受到多种沙箱技术的干扰。在充分考察过各种技术方案的优劣后,瀚思科技开发出了基于深度学习的二进制病毒样本检测技术,可以做到沙箱同等水平的 99% 的检测准确率,而误报率低于 1/1000。...
沙箱——SetErrorMode
weixin_30577801的博客
04-19 761
目录 1.前言 2.原理讲解 3.代码实现 4.参考 1.前言 利用SetErrorMode进行沙箱的技术,在2010年就有被提出,但是之前搜了很久都没有相关内容,这里简单的说一下这个沙箱实现沙箱参考GandCrab5.2。 2.原理讲解 首先讲一下SetErrorMode这个函数,SetErrorMode是用于设置如何处理程序错误的,设置不同的值有不同的作用...
沙箱对抗之沙箱技巧
SHELLCODE_8BIT的博客
10-22 1107
我们经常会在红蓝对抗中遇到这种场景,离线免杀,但是10分钟又被杀,这就是云查杀的威力,而云查杀可以分为下列两种:1.静态分析2.动态分析
CHAOS,杀毒,沙箱
weixin_33933118的博客
02-28 149
版权声明:转载请注明出处:http://blog.csdn.net/dajitui2024 https://blog.csdn.net/dajitui2024/article/details/79396528 ...
初探JVM(JVM入门)
nswdiphone6的博客
03-21 159
JVM初探 1、JVM的位置及体系结构 JVM的位置 JVM的体系结构 本地方法接口:JNI(Java Native Interface) 2、堆(Heap)和栈(Stack) JAVA在程序运行时,在内存中划分5片空间进行数据的存储。分别是:1:寄存器。2:本地方法区。3:方法区。4:栈。5:堆。 栈(Stack)内存用于存放基本类型的变量 (8种) 和对象的**引用变量(注意是引用变量)**以及实例的方法,用完就消失(栈的特性,先进后出)。当在一段代码块中定义一个变量时,java就在栈中为这个
[网络安全自学篇] 八十七.恶意代码检测技术详解及总结
热门推荐
杨秀璋的专栏
07-16 2万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了威胁情报分析,通过Python抓取FreeBuf网站“APT”主题的相关文章。这篇文章将详细总结恶意代码检测技术,包括恶意代码检测的对象和策略、特征值检测技术、校验和检测技术、启发式扫描技术、虚拟机检测技术和主动防御技术。基础性文章,希望对您有所帮助~
红队系列-shellcode AV bypass Evasion免杀合集
aming小老弟
11-13 1251
壳就是软件所增加的保护,并不会破坏里面的程序结构,当我们运行这个加壳的程序时,系统首先会运行程序里的壳,然后由壳将加密的程序逐步还原到内存中,最后运行程序。加壳虽然对于特征码绕过有非常好的效果,加密壳基本上可以把特征码全部掩盖,但是缺点也非常的明显,因为壳自己也有特征,主流的壳如VMP, Themida等等。客户端上传特征,在云端无法检测到,则上传文件,文件通过杀软系统进行评判,得出总评分,对于无结果的,进行鉴定系统评分,总共得出结果返回给用户,并入云端库。比如可以远程读取png中的shellcode。
[网络安全自学篇] 七十三.WannaCry勒索病毒复现及分析(四)蠕虫传播机制全网源码详细解读
杨秀璋的专栏
05-05 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了逆向分析OllyDbg动态调试工具的基本用法,包括界面介绍、常用快捷键和TraceMe案例分析。这篇文章将继续详细讲解WannaCry蠕虫的传播机制,带领大家详细阅读源代码,分享WannaCry勒索病毒是如何传播感染的。作者分析该病毒一个月,一方面觉得自己技术菜,另一方面深知系统安全需要坚持,继续加油。希望文章对您有所帮助~
Camus:Reverse_Shell在C ++中实现,可以绕过沙箱
04-02
加缪 Reverse_Shell用C ++实现,能够通过检测鼠标移动来绕过沙箱 特征: 通过C ++实现的Reverse_shell 通过识别鼠标移动来绕过沙箱 动态API解析,可绕过静态分析 零检测率(在发言时) 使用方法:以IP地址和端口作为输入来运行程序,例如:Camus.exe 192.168.1.1 555
anti-sandbox:Windows对抗沙箱和虚拟机的方法总结
03-09
沙箱 Windows对抗沙箱和虚拟机的方法总结 方法总结 功能 功能 备注 checkCPUCores 检查CPU核心数 检查CPU温度 检查CPU温度 需要管理员权限 checkDomain 检测域名 原理未知,测试不成功 检查MAC 检测MAC地址 checkMemory 检测内存大小 checkPhyDisk 检测磁盘大小 需要管理员权限 checkProcess 检测进展 checkPath 检测阳离子和文件路径 可能需要管理员权限 checkSerivce 检测服务 checkUptime 检测开机时间 checkCPUID 使用CPUID指令 checkTempDir 检测TEMP目录下的文件数量 checkHardwareInfo 检测主板序列号,主机型号,系统盘所在磁盘名称等硬件信息 checkSpeed 检测代码运行时间差 需手动指定正常时间差,较困难 checkNoP
ShellcodeLoader:将shellcode用rsa加密并动态编译exe,自带多个沙箱技术
03-19
ShellcodeLoader 将shellcode用rsa加密并动态编译exe,自带多个沙箱技术。 如果要用.NET 2.0编译请手动编译,csc不支持某些代码 沙箱 判断父进程是否为调试器 判断时间是否加速 一般沙盘内的程序时间都会加速。 判断进程是否有黑名单 判断是不是虚拟机,不过有几个vm进程是本机也会存在的,怕误报可以手动修改黑名单列表。 判断MAC地址是否有黑名单 判断是不是虚拟机的mac地址,有几个地址只要本机有装虚拟机也会有,怕误报可以手动修改黑名单。 判断系统盘是否大于50GB 一个正常的PC的系统盘都会大于50GB。 使用 一般的: 运行生成的exe文件 争论: 程序会保存加密好的数据到Output.txt shellcode.exe“私钥”“加密shellcode” 更新 20200709: 新增x86远程注入(直接复制CACTUSTORCH的) 已知问题 远程
沙箱初探-函数实现4
padandf的博客
02-04 238
沙箱
花式沙箱
最新发布
moresec的博客
01-12 1601
目前沙箱正成为判断恶意威胁的一种最快速和最简单的方式,因此沙箱检测在实战中发挥越来越重要的作用,无论是从溯源还是延长加载器寿命的角度,沙箱都是红蓝对抗中不可或缺的一环。我会着重讲解我觉得有趣的手法,当然有趣不等于实用,如果你分析过APT组织的样本,会发现那些原理简单且有效的方法会被更多的使用(比如主机名/用户名/进程黑名单,环境检测,用户交互检测等),这些方法往往都是复合使用的,因为很难有一种方法可以适用所有场景。出于学习的目的我们应该都了解一下。
沙箱初探
padandf的博客
02-04 437
沙箱初探
沙箱初探-api模拟
padandf的博客
02-04 140
调用冷门api进行沙箱
沙箱CobaltStrike木马加载器分析
墨痕诉清风的博客
06-13 1670
1.计算Sleep类函数延时时间与实际流逝时间是否匹配可判断环境是否为正常。对沙箱来说,跳过Sleep节约时间成本是有必要的不可省去,但可适当处理GetTickCount类函数,使其与延时时间匹配。2.对于动态解密,打好断点动态分析比静态分析省时间,至少对我这种刚上路的菜狗来说是这样。3.CertEnumSystemStore可作为CertEnumSystemStore替代品用于执行Shellcode。近日,笔者参加了浙江护网,在攻击队停止攻击的那一天凌晨,Windows服务器被攻破大量失分,早晨溯源时拿到
SetErrorMode 沙箱
06-08
SetErrorMode 函数本身并不能直接用来沙箱,但是可以通过它来检测当前程序是否运行在沙箱环境中。 在沙箱环境中,一些操作可能被限制或者被重定向到虚拟的文件系统或注册表中,因此可以通过尝试访问某些系统资源...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值