我正在寻找一些使用不常见 API 调用检测沙箱的恶意软件样本。我知道操作系统模拟沙箱的缺点之一是恶意软件可以使用不常见的 API 调用来使模拟器/沙箱崩溃。有人知道这样的样品吗?如果可以提供要求不同 API 的不同示例,那就太好了。
谢谢!
通过使用不常见的 API 调用打败模拟器的恶意软件样本
逆向工程
恶意软件
仿真
沙盒
2021-06-17 05:14:41
2个回答
我对此没有任何直接经验,因此请谨慎对待。如果您看一下 Sandboxie 的功能,除了他们的驱动程序之外,他们还在 WinAPI 上提供了大量的 ring3 钩子。还有很多其他的事情需要检查,甚至像加载模块一样简单。重点是我认为单个示例不会真正有多大好处,因为有无数种方法可以检测它。其他沙箱模拟、VM 等也是如此。
我没有样本,但这里有关于进行沙盒检测的恶意软件的报告:https : //www.root9b.com/sites/default/files/whitepapers/PoS%20Malware%20ShellTea%20PoSlurp_1.pdf以便您可以在您的样品搜索中更具体。
其它你可能感兴趣的问题