反虚拟机和沙箱检测的一些小技巧

近些年,各种恶意程序不断涌现,反病毒软件也升级了各种各样检验计划方案以提升检验率。至少较为合理的计划方案是动态性沙箱检测服务,即根据在沙箱中运作程序流程并观查程序流程个人行为来分辨程序流程是不是为恶意程序。

不仅而且,安全性工作人员也在各种虚拟机中运作程序流程开展剖析。以便躲避沙箱/安全性工作人员的检验,恶意程序应用了各种鉴别沙箱/虚拟机的技术性,用以分辨本身程序流程是不是运作在沙箱/虚拟机中。原文中详细介绍了几类检验虚拟机和沙箱的技术性,要是有不正确独到之处请诸位dalao批评指正。

下列是Vmware和VirtualBox将会存有的系统进程,人们能够应用Process32First,Process32Next等WINAPI例举系统进程而且检验是不是存以下几点。

如圖,人们应用了CreateToolhelp32Snapshot给系统进程来个快照,随后应用Process32First,Process32Next枚举系统进程,并将系统进程名传到check涵数中检验是不是配对数组中的姓名,要是配对到至少的1个,表明在VirtualBox中运作,CheckProcess涵数将回到false。

备注名称:很多剖析虚拟机中沒有安裝常用软件,人们还可以应用相近的方法监测系统中的SI、电脑浏览器等常见程序流程,来分辨程序流程是不是运作在虚拟机中。

下边收集来啦某些vmware和vbox存有的文档特点。能够用多种多样方式检验文档是不是存有,如:WMIC,WINAPI和CMD。



免责声明:文章《反虚拟机和沙箱检测的一些小技巧》来至网络,文章表达观点不代表本站观点,文章版权属于原作者所有,若有侵权,请联系本站站长处理!



上一篇:反病毒工具包整理集合
下一篇:告诉你怎么样用WIFI逐步渗透至内网
您可能感兴趣:
  • 黑客接单黑客头像
  • QQ:58241689