反虚拟机、反沙箱技术整理汇总

最新推荐文章于 2023-12-27 01:20:06 发布
最新推荐文章于 2023-12-27 01:20:06 发布
阅读量1.2k 收藏 4
点赞数 1
文章标签: windows 算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_35360663/article/details/127719012
版权

反虚拟机、反沙箱技术整理汇总安全狗的⾃我修养 2022-11-06 15:49 反虚拟机、反沙箱技术整理汇总

延迟执⾏

因为沙箱对样本运⾏时间有限制,使⽤已知的windows Api(例如NtDelayExecution,

CreateWaitTableTImer,SetTimer等)将恶意代码的执⾏延迟了⼀段时间。

延迟执⾏ -GetTickCount 检查机器运⾏时间,创建超过设定时间的快照即可使计算机运⾏更多时间,即可绕过。

延迟执⾏ -API泛洪

在循环中调⽤垃圾API以引⼊延迟

Win32/Cutwail

延迟执⾏ -内联汇编

引⼊内联汇编代码,设置较⼤的计数。

硬件检测

对硬件进⾏指纹识别,特别是检查总物理内存⼤⼩,可⽤的存储⼤⼩/类型和可⽤的CPU 内核数量。例如通过Windows API DeviceIoControl()与特定的控制代码⼀起使⽤,以检索有关存储类型和存储⼤⼩的信息。

硬件检测 -储存空间检查

另外,可以通过WMI接⼝获取系统信息时,⽽hookcom的资料很少。

硬件检测 -CPU温度检查

检查涉及检查执⾏中的处理器的温度,该检查通过系统中的WMI调⽤执⾏。因为VM系统在此调⽤之后将永远不会返回结果。

硬件检测 -CPU核⼼数量最初基于API来获取信息,后来都采⽤WMI和更隐蔽的基于PEB访问的⽅法。

更隐秘的⽅法是访问PEB,通过引⼊内联汇编代码或使⽤inline函数来实现。

另⼀种⽅法,MSDN定义,“ProcessAffinityMask”是⼀个位向量,其中每个位代表允许进程在其上运⾏的处理器。系统相似性掩码是⼀个位向量,其中每个位代表配置到系统中的处理器。恶意软件使⽤这种通过获取GetProcessAffinityMask API来获取核⼼计数的新⽅法。API返回掩码,该掩码可以轻松识别正在使⽤的内核数。

在上⾯的示例中(样本md5:53f6f9a0d0867c10841b815a1eea1468),如果核⼼计数⼩于2,则恶意软件仅终⽌⽽不执⾏其有效载荷:

硬件检测 - 基于COM的DirectShow的⾳频检测

上⾯的代码不仅在检查⾳频设备的存在,⽽且还验证API是否完全可操作(可能是为了过滤掉不完整的API仿真)。

这些只是⼀些随机检查,以确保恶意软件在真实系统上执⾏。仅在此沙箱安装了⾳频设备后,它才被视为真实系统。⼤多数仿真器都会失败,因为⼏乎不可能为现代操作系统中存在的每个COM接⼝实现适配⽀持。

}

检测⽤户输⼊

在真实的机器中,诸如键盘或⿏标活动之类的⽤户输⼊将是频繁发⽣的事件,或者⾄少是最终发⽣的事件。但是传统的沙箱通常不会有任何⽤户输⼊,也不会⾜够模拟⽤户的 I/O活动以欺骗恶意软件。由于这些限制,⾼级恶意软件可以利⽤这种差异(缺少⽤户输

⼊)来检测沙箱。

示例1 检查输⼊时间间隔

为了获得⾃上次收到⽤户输⼊以来的空闲时间,恶意软件通常会使⽤GetLastInputInfo 和GetTickCount函数的组合。

样本(md5:5bd308c1b32178098c8202cff5b02a28)示例:

对上⾯的代码进⾏检查后发现,它在⽆限循环内执⾏以下逻辑:

  1. 通过从LASTINPUTINFO.dwTime中减去当前计数来获得空闲输⼊计数。
  2. 如果空闲输⼊计数⼩于100且不等于最后⼀个空闲计数,则将其视为“正确的空闲输

⼊时间”并将其添加到计数器中。

  1. 如果正确的空闲时间计数器次数 > 10,则跳出循环
  2. 睡眠11毫秒

为了测试代码是否在真实系统上运⾏,此恶意软件示例将⽆限期等待⽤户输⼊。如果是在实际系统上,则⽤户有时会按下⼀个键或移动⿏标,并且空闲时间将少于100个滴答

声。如果发⽣10次以上,恶意软件将开始执⾏其有效负载。

但是,传统的沙箱执⾏和分析每个程序的时间有限,因此检测这种类型的逃逸是有问题的。此外,在评估上述恶意软件样本时,常规沙箱需要在指定时间范围内⽣成10次正确的输⼊空闲时间。如果不这样做,该恶意软件将不会执⾏,并且不会被检测到。我们测试的⼤多数沙盒⽆法完成此操作,并错误地得出结论该样品⽆害。

示例2 检测前台窗⼝

Win32 / Gataka变体:使⽤GetForeGroundWindow,并检查是否再次调⽤同⼀API会更改Windows句柄,如果⽤前台窗⼝⼀直没有改变,说明可能没有⽤户操作。在Locky勒索软件变体中发现了相同的技术。

示例3 检测⿏标

Win32 / Sazoora恶意软件,⽤于检查⿏标的移动。

示例4 vb宏

恶意软件活动采⽤了多种技术来检查与受感染系统的历史交互。此类传播Dridex恶意软件的活动⼴泛使⽤了仅在⽂档关闭时触发的“⾃动执⾏”宏。以下是此类活动的VB代码的快照。

示例5 检查注册表项最近⽂档

\HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Word\User MRU

示例6 vb脚本检查最近⽂件

环境检测

恶意软件使⽤的另⼀种技术是对⽬标环境进⾏指纹识别,例如:

  • 对照通⽤沙箱名称或注册表检查主机名。
  • 验证安装的程序,程序数量很少的可能表明机器是假的。
  • 检查⽂件名以检测是否使⽤了哈希或关键字(例如恶意软件)
  • 检测正在运⾏的进程以发现潜在的监视⼯具并检查⽹络地址以检测被列⼊⿊名单的

⼯具,例如AV⼚商。

点击关注,共同学习!安全狗的自我修养

github haidragon

https://github.com/haidragon

C-haidragon
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
沙箱——SetErrorMode
weixin_30577801的博客
04-19 748
目录 1.前言 2.原理讲解 3.代码实现 4.参考 1.前言 利用SetErrorMode进行沙箱技术,在2010年就有被提出,但是之前搜了很久都没有相关内容,这里简单的说一下这个沙箱的实现。沙箱参考GandCrab5.2。 2.原理讲解 首先讲一下SetErrorMode这个函数,SetErrorMode是用于设置如何处理程序错误的,设置不同的值有不同的作用...
【Web实战】先锋马免杀分享
2301_80127209的博客
11-14 336
base64 sgn编码。
如何应对沙箱环境中的沙箱技术
最新发布
图幻未来的博客
12-27 419
本文将分析沙箱技术的原理和影响,并提出相应的解决方案。1. **性能下降**:由于沙箱技术需要模拟复杂的操作系统和环境,因此会消耗更多的计算资源,导致应用程序的性能下降。4. **加强安全监测**:加强对应用程序的安全监测,及时发现并处理潜在的恶意行为,可以有效减轻沙箱技术带来的影响。2. **兼容性降低**:沙箱技术可能会导致应用程序与宿主机之间的兼容性问题,因为它们是在不同的环境中运行的。1. **优化代码**:通过优化应用程序的代码,可以减少潜在的安全漏洞,从而减少沙箱技术检测到的可能性。
Camus:Reverse_Shell在C ++中实现,可以绕过沙箱
04-02
加缪 Reverse_Shell用C ++实现,能够通过检测鼠标移动来绕过沙箱 特征: 通过C ++实现的Reverse_shell 通过识别鼠标移动来绕过沙箱 动态API解析,可绕过静态分析 零检测率(在发言时) 使用方法:以IP地址和端口作为输入来运行程序,例如:Camus.exe 192.168.1.1 555
沙箱初探-函数实现7
padandf的博客
02-04 93
沙箱初探
QuickLaunch虚拟机沙箱完全破解
02-16
QuickLaunch沙箱实用安全,可隔离运行软件使电脑不受病毒侵害,已破解64位签名证书。具体教程 http://bbs.kafan.cn/thread-1837007-1-1.html
动态沙箱检测与检测技术进展.pdf
08-08
提纲 一、背景及挑战 •动态沙箱是检测高级威胁的重要手段 ...•探测沙箱环境,对抗沙箱检测技术手段 三、环境敏感恶意软件的检测 •针对环境探测的各种检测思路及进展 四、我们的工作及进展 •金刚系统及相关进展
简化:Android虚拟机混淆器
02-01
smalivm :提供用于执行Dalvik方法的虚拟机沙箱。 执行方法后,它将返回一个图形,其中包含每个执行路径的所有可能的寄存器和类值。 即使某些值是未知的(例如文件和网络I / O),它也可以工作。 例如,带有未知值...
DockOne技术总结整理(四)
02-26
本次主要分享DockerCon上的见闻,分享所有内容大致可以分为三个部分:1...何为试验性质的特性,换言之Docker的这部分特性还不支持在生产环境中采用,这些特性更多的希望用户仅仅在测试环境,以及沙箱环境中采用。试验性
华为Firehunter6300沙箱技术白皮书
07-01
华为沙箱技术
ShellcodeLoader:将shellcode用rsa加密并动态编译exe,自带多个沙箱技术
03-19
ShellcodeLoader 将shellcode用rsa加密并动态编译exe,自带多个沙箱技术。 如果要用.NET 2.0编译请手动编译,csc不支持某些代码 沙箱 判断父进程是否为调试器 判断时间是否加速 一般沙盘内的程序时间都会加速。 判断进程是否有黑名单 判断是不是虚拟机,不过有几个vm进程是本机也会存在的,怕误报可以手动修改黑名单列表。 判断MAC地址是否有黑名单 判断是不是虚拟机的mac地址,有几个地址只要本机有装虚拟机也会有,怕误报可以手动修改黑名单。 判断系统盘是否大于50GB 一个正常的PC的系统盘都会大于50GB。 使用 一般的: 运行生成的exe文件 争论: 程序会保存加密好的数据到Output.txt shellcode.exe“私钥”“加密shellcode” 更新 20200709: 新增x86远程注入(直接复制CACTUSTORCH的) 已知问题 远程
【渗透实战】木马免杀
zkaqlaoniao的博客
11-14 1451
base64 sgn编码。
沙箱初探-api模拟
padandf的博客
02-04 128
调用冷门api进行沙箱
沙箱相关学习记录【SetErrorMode】
qq_45844442的博客
07-07 72
这个沙箱个人感觉和调试类似,一个是查看调试与非调试状态的区别,一个是查看真实主机与虚拟机沙箱的区别。之前也遇到很多但是没有做总结,所以将常见的总结到这个文章中。
沙箱初探-函数实现3
padandf的博客
02-04 103
沙箱初探
沙箱初探-函数实现6
padandf的博客
02-04 119
沙箱
linux沙箱隔离_Hacking Team分析 沙箱对抗分析
weixin_35617554的博客
02-07 490
0x00背景在Hacking Team泄露的文件中含有不少后门、木马的源码,其中就包含有一些虚拟机沙箱的代码,如scout-win-master中就涉及到了这类代码,主要由三部分组成,分别为:AntiCuckoo、AntiVBox、AntiVMWare(其中Cuckoo为一个虚拟化沙箱系统,VBOX和VMWare则为我们熟悉的两款虚拟机)。安恒安全研究团队对这部分进行了分析。分析如下。0x01...
不错的云沙箱检测工具
jackyrongvip的专栏
04-09 2603
https://www.freebuf.com/articles/269085.html 大圣云沙箱是由FreeBuf x 漏洞盒子联合推出的一款基于云端架构的高级威胁检测和恶意软件免费分析服务。它可以: 支持数10种病毒检测,发现关联家族病毒 快速生成内容详实的检测分析报告 恶意样本及分析报告免费共享 样本检测内容及结果定期更新 检测报告一键收藏快速分享 有时候,检测就是这么简单 这是一款基于代码意图的云端检测引擎,结合自然语言处理+机器学习技术进.
GetTickCount64的使用
duling2的博客
11-01 5495
ULONGLONG lastTick = GetTickCount64(); Sleep(2000); ULONGLONG nowTick = GetTickCount64(); if(lastTick-nowTick>3500) { //永远不会走这里 }else { //会一直走这是 } //要改成这样 if (nowTick >= lastTick + 3500){ } else{ } ...
SetErrorMode 沙箱
06-08
SetErrorMode 函数本身并不能直接用来沙箱,但是可以通过它来检测当前程序是否运行在沙箱环境中。 在沙箱环境中,一些操作可能被限制或者被重定向到虚拟的文件系统或注册表中,因此可以通过尝试访问某些系统资源...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

C-haidragon

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值