反沙箱相关学习记录【SetErrorMode】

最新推荐文章于 2024-03-24 17:49:32 发布
最新推荐文章于 2024-03-24 17:49:32 发布
阅读量76 收藏
点赞数
分类专栏: 学习感悟 文章标签: 学习 安全 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45844442/article/details/131593938
版权
文章探讨了反沙箱技术的一种方法,即通过SetErrorModeWindowsAPI来判断系统是否在沙箱环境中运行。SetErrorMode的特定参数SEM_NOALIGNMENTFAULTEXCEPT在沙箱中常被设置,通过检查其返回值可识别沙箱环境。此外,文章还提到了其他反沙箱手段的相关链接。
摘要由CSDN通过智能技术生成

这个反沙箱个人感觉和反调试类似,一个是查看调试与非调试状态的区别,一个是查看真实主机与虚拟机或沙箱的区别。之前也遇到很多但是没有做总结,所以将常见的总结到这个文章中。

SetErrorMode

该函数的相关使用说明:https://learn.microsoft.com/zh-cn/windows/win32/api/errhandlingapi/nf-errhandlingapi-seterrormode

通过这个函数进行判断是否在沙箱中
原理:这个函数有一个参数SEM_NOALIGNMENTFAULTEXCEPT会导致下次使用时不清空这个值,而沙箱用了这个函数并且还用了这个参数,所以通过调用这个函数判断其返回值是否是上次设置的值即可

其它反沙箱手段相关链接

http://www.hackdig.com/12/hack-871474.htm

mi-key
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
沙箱方法
SHELLCODE_8BIT的博客
07-20 1151
1.1主机指纹特征。1.2主机流量特征。
沙箱——SetErrorMode
weixin_30577801的博客
04-19 754
目录 1.前言 2.原理讲解 3.代码实现 4.参考 1.前言 利用SetErrorMode进行沙箱的技术,在2010年就有被提出,但是之前搜了很久都没有相关内容,这里简单的说一下这个沙箱的实现。沙箱参考GandCrab5.2。 2.原理讲解 首先讲一下SetErrorMode这个函数,SetErrorMode是用于设置如何处理程序错误的,设置不同的值有不同的作用...
沙箱的初探-函数实现1
padandf的博客
02-04 111
沙箱初探
沙箱初探-函数实现4
padandf的博客
02-04 228
沙箱
沙箱初探-函数实现3
padandf的博客
02-04 108
沙箱初探
支付宝沙箱环境学习
01-20
沙箱环境(我的理解) 个人开发者接入支付宝支付,但不是企业身份,没有企业支付宝账号,由此支付宝提供了沙箱环境,使我们开发者不需要进行商家认证就可以进行支付和测试.下面就进行沙箱环境的配置 登录支付宝开放平台...
沙箱原理介绍,沙箱的分类
08-05
沙箱的基本原理是利用虚拟化技术,使得受控的代码在一个受限的环境中运行,所有的操作都会被严密监控,一旦发现异常或有害行为,系统会立即停止执行并记录相关信息。 沙箱通常分为应用级沙箱和内核级沙箱。应用级...
动态沙箱检测与检测技术进展.pdf
08-08
提纲 一、背景及挑战 •动态沙箱是检测高级威胁的重要手段 二、环境敏感的恶意软件 •探测沙箱环境,对抗沙箱检测技术手段 三、环境敏感恶意软件的检测 •针对环境探测的各种检测思路及进展 ...•金刚系统及相关进展
深度学习数据窃取攻击在数据沙箱模式下的威胁分析与防御方法研究.docx
05-29
### 深度学习数据窃取攻击在数据沙箱模式下的威胁分析与防御方法研究 #### 一、引言 随着人工智能技术的迅速发展,数据的重要性日益凸显。数据沙箱模式作为一种平衡隐私保护与数据利用的技术方案,在保障数据安全...
machine_learning:尝试机器学习算法的沙箱
02-04
在本项目"machine_learning"中,开发者提供了一个用于探索和实验各种机器学习算法的平台,类似于一个沙箱环境。这个项目对于初学者和经验丰富的数据科学家来说都是一个宝贵的资源,他们可以在这里尝试不同的模型,...
ShellcodeLoader:将shellcode用rsa加密并动态编译exe,自带多个沙箱技术
03-19
ShellcodeLoader 将shellcode用rsa加密并动态编译exe,自带多个沙箱技术。 如果要用.NET 2.0编译请手动编译,csc不支持某些代码 沙箱 判断父进程是否为调试器 判断时间是否加速 一般沙盘内的程序时间都会加速。 判断进程是否有黑名单 判断是不是虚拟机,不过有几个vm进程是本机也会存在的,怕误报可以手动修改黑名单列表。 判断MAC地址是否有黑名单 判断是不是虚拟机的mac地址,有几个地址只要本机有装虚拟机也会有,怕误报可以手动修改黑名单。 判断系统盘是否大于50GB 一个正常的PC的系统盘都会大于50GB。 使用 一般的: 运行生成的exe文件 争论: 程序会保存加密好的数据到Output.txt shellcode.exe“私钥”“加密shellcode” 更新 20200709: 新增x86远程注入(直接复制CACTUSTORCH的) 已知问题 远程
anti-sandbox:Windows对抗沙箱和虚拟机的方法总结
03-09
沙箱 Windows对抗沙箱和虚拟机的方法总结 方法总结 功能 功能 备注 checkCPUCores 检查CPU核心数 检查CPU温度 检查CPU温度 需要管理员权限 checkDomain 检测域名 原理未知,测试不成功 检查MAC 检测MAC地址 checkMemory 检测内存大小 checkPhyDisk 检测磁盘大小 需要管理员权限 checkProcess 检测进展 checkPath 检测阳离子和文件路径 可能需要管理员权限 checkSerivce 检测服务 checkUptime 检测开机时间 checkCPUID 使用CPUID指令 checkTempDir 检测TEMP目录下的文件数量 checkHardwareInfo 检测主板序列号,主机型号,系统盘所在磁盘名称等硬件信息 checkSpeed 检测代码运行时间差 需手动指定正常时间差,较困难 checkNoP
沙箱Sandboxie 逆向完整源码
08-15
沙箱Sandboxie v3.40 逆向完整源码
沙箱初探-函数实现7
padandf的博客
02-04 99
沙箱初探
免杀对抗-沙盒+调试
xiaoheizi的博客
10-07 1153
为了逃避沙箱/安全人员的检测,恶意软件使用了各类识别沙箱/虚拟机的技术,用于判断自身程序是否运行在沙箱/虚拟机中。其中比较有效的方案是动态沙箱检测技术,即通过在沙箱中运行程序并观察程序行为来判断程序是否为恶意程序。3.将重新生成的受保护的exe程序再次使用ollydbg调试,可以看到已经不能正常调试了。4.将exe程序放到虚拟机中无法运行,证明代码成功检测出当前处在虚拟环境中。3.msf设置监听,在真机运行exe程序,msf成功上线。3.将exe程序上传到虚拟机,exe程序无法运行。
红队培训班作业 | 混淆&沙盒机制&隐藏shellcode 过杀软静态检测
Ms08067安全实验室
09-07 508
本文作者:某学员A(红队培训班2期学员)1、加密或编码或混淆过杀软静态检测l 如下代码为实现payload经过fernet对称加密的shellcode生成器:#coding:utf-8 ...
沙箱虚拟机   调试  所用黑名单
makaisghr的专栏
03-04 705
沙箱虚拟机 调试 所用黑名单 BLOCKLISTED USERNAMES AND COMPUTER NAMES Blocklisted keywords for username and computername: 15pb 7man2 stella f4kh9od willcarter biluta ehwalker hong lee joe cage jonathan kindsight malware peter miller petermiller ...
沙箱初探-api模拟
padandf的博客
02-04 133
调用冷门api进行沙箱
沙箱思路总结
最新发布
记录学习,一起进步
03-24 454
浅谈沙箱虚拟机技术
SetErrorMode 沙箱
06-08
SetErrorMode 函数本身并不能直接用来沙箱,但是可以通过它来检测当前程序是否运行在沙箱环境中。 在沙箱环境中,一些操作可能被限制或者被重定向到虚拟的文件系统或注册表中,因此可以通过尝试访问某些系统资源来判断程序是否运行在沙箱环境中。比如,在程序的入口处加入以下代码: ``` #include <Windows.h> int WINAPI WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nShowCmd) { // 设置错误模式为 SEM_FAILCRITICALERRORS | SEM_NOGPFAULTERRORBOX | SEM_NOOPENFILEERRORBOX SetErrorMode(SEM_FAILCRITICALERRORS | SEM_NOGPFAULTERRORBOX | SEM_NOOPENFILEERRORBOX); // 检查是否运行在沙箱环境中 HANDLE hFile = CreateFileW(L"C:\\Windows\\system32\\kernel32.dll", GENERIC_READ, FILE_SHARE_READ, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL); if (hFile == INVALID_HANDLE_VALUE) { // 运行在沙箱环境中 // 可以在这里加入沙箱代码 } else { // 不运行在沙箱环境中 CloseHandle(hFile); } // 程序其余代码 return 0; } ``` 这里尝试访问系统目录下的 kernel32.dll 文件,如果当前程序运行在沙箱环境中,这个文件可能被重定向到虚拟文件系统中,因此无法打开,CreateFileW 函数将返回 INVALID_HANDLE_VALUE。如果程序不运行在沙箱环境中,这个文件可以正常打开,并且返回的句柄不是 INVALID_HANDLE_VALUE。在程序的入口处对是否运行在沙箱环境中进行检测后,您可以加入相应的沙箱代码
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值