反沙箱方法

已于 2022-07-20 20:30:42 修改
阅读量1.2k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 安全研发 文章标签: 网络安全
于 2022-07-20 18:50:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/SHELLCODE_8BIT/article/details/125898302
了解本专栏 订阅专栏 解锁全文 超级会员免费看
ShellcodeLoader:将shellcode用rsa加密并动态编译exe,自带多个反沙箱技术
03-19
ShellcodeLoader 将shellcode用rsa加密并动态编译exe,自带多个反沙箱技术。 如果要用.NET 2.0编译请手动编译,csc不支持某些代码 反沙箱 判断父进程是否为调试器 判断时间是否加速 一般沙盘内的程序时间都会加速。 判断进程是否有黑名单 判断是不是虚拟机,不过有几个vm进程是本机也会存在的,怕误报可以手动修改黑名单列表。 判断MAC地址是否有黑名单 判断是不是虚拟机的mac地址,有几个地址只要本机有装虚拟机也会有,怕误报可以手动修改黑名单。 判断系统盘是否大于50GB 一个正常的PC的系统盘都会大于50GB。 使用 一般的: 运行生成的exe文件 争论: 程序会保存加密好的数据到Output.txt shellcode.exe“私钥”“加密shellcode” 更新 20200709: 新增x86远程注入(直接复制CACTUSTORCH的) 已知问题 远程
anti-sandbox:Windows对抗沙箱和虚拟机的方法总结
03-09
防沙箱 Windows对抗沙箱和虚拟机的方法总结 方法总结 功能 功能 备注 checkCPUCores 检查CPU核心数 检查CPU温度 检查CPU温度 需要管理员权限 checkDomain 检测域名 原理未知,测试不成功 检查MAC 检测MAC地址 checkMemory 检测内存大小 checkPhyDisk 检测磁盘大小 需要管理员权限 checkProcess 检测进展 checkPath 检测阳离子和文件路径 可能需要管理员权限 checkSerivce 检测服务 checkUptime 检测开机时间 checkCPUID 使用CPUID指令 checkTempDir 检测TEMP目录下的文件数量 checkHardwareInfo 检测主板序列号,主机型号,系统盘所在磁盘名称等硬件信息 checkSpeed 检测代码运行时间差 需手动指定正常时间差,较困难 checkNoP
基于深度学习的病毒检测技术无需沙箱环境,直接将样本文件转换为二维图片,进而应用改造后的卷积神经网络 Inception V4 进行训练和检测...
djph26741的博客
10-30 445
话题 3: 基于深度学习的二进制恶意样本检测 分享主题:全球正在经历一场由科技驱动的数字化转型,传统技术已经不能适应病毒数量飞速增长的发展态势。而基于沙箱的检测方案无法满足 APT 攻击的检测需求,也受到多种反沙箱技术的干扰。在充分考察过各种技术方案的优劣后,瀚思科技开发出了基于深度学习的二进制病毒样本检测技术,可以做到沙箱同等水平的 99% 的检测准确率,而误报率低于 1/1000。...
反向沙箱介绍
最新发布
a15995989443的博客
05-09 446
其技术原理与传统沙箱形成逆向操作逻辑:在保持终端设备物理隔离的前提下,通过专用沙箱环境建立受控网络通路,实现"数据不出域、风险不入网"的安全范式。该架构通过"终端沙箱化-网关代理化-流量净化"的三重防护机制,确保互联网访问行为完全运行于隔离沙箱环境,实现主机系统与互联网的物理隔离。该技术现已成为金融、能源、政务等关键行业的基础安全设施,据IDC报告显示,2023年中国反向沙箱市场规模已达12.7亿元,年复合增长率达31.6%。安全访问赋能:在保证网络隔离的前提下,实现业务必需的外网访问需求。
反沙箱——SetErrorMode
weixin_30577801的博客
04-19 821
目录 1.前言 2.原理讲解 3.代码实现 4.参考 1.前言 利用SetErrorMode进行反沙箱的技术,在2010年就有被提出,但是之前搜了很久都没有相关内容,这里简单的说一下这个反沙箱的实现。反沙箱参考GandCrab5.2。 2.原理讲解 首先讲一下SetErrorMode这个函数,SetErrorMode是用于设置如何处理程序错误的,设置不同的值有不同的作用...
沙箱对抗之反沙箱技巧
SHELLCODE_8BIT的博客
10-22 1671
我们经常会在红蓝对抗中遇到这种场景,离线免杀,但是10分钟又被杀,这就是云查杀的威力,而云查杀可以分为下列两种:1.静态分析2.动态分析。
沙箱逃避技术点滴记录
weixin_34192993的博客
12-11 208
updated @ 2014-2-3沙箱逃避技术,就是恶意代码想方设法逃避沙箱技术的检测的技术。目前,业界也将采用这种技术的***行为称作“沙箱感知的***”,或者“沙箱感知恶意代码”,即Sandbox-aware Attack , Sandbox-aware Malware。随着诸如FireEye这类公司的兴起,沙箱逃避技术的研究越来越多。之前在《新型威胁分析与防范研究》中有介绍。这里在记录点滴...
CHAOS,反杀毒,反沙箱
weixin_33933118的博客
02-28 191
版权声明:转载请注明出处:http://blog.youkuaiyun.com/dajitui2024 https://blog.youkuaiyun.com/dajitui2024/article/details/79396528 ...
反沙箱的初探
padandf的博客
02-04 571
反沙箱的初探
免杀对抗-反沙盒+反调试
xiaoheizi的博客
10-07 1740
为了逃避沙箱/安全人员的检测,恶意软件使用了各类识别沙箱/虚拟机的技术,用于判断自身程序是否运行在沙箱/虚拟机中。其中比较有效的方案是动态沙箱检测技术,即通过在沙箱中运行程序并观察程序行为来判断程序是否为恶意程序。3.将重新生成的受保护的exe程序再次使用ollydbg调试,可以看到已经不能正常调试了。4.将exe程序放到虚拟机中无法运行,证明代码成功检测出当前处在虚拟环境中。3.msf设置监听,在真机运行exe程序,msf成功上线。3.将exe程序上传到虚拟机,exe程序无法运行。
反沙箱初探-函数实现4
padandf的博客
02-04 325
反沙箱
Camus:Reverse_Shell在C ++中实现,可以绕过沙箱
04-02
加缪 Reverse_Shell用C ++实现,能够通过检测鼠标移动来绕过沙箱 特征: 通过C ++实现的Reverse_shell 通过识别鼠标移动来绕过沙箱 动态API解析,可绕过静态分析 零检测率(在发言时) 使用方法:以IP地址和端口作为输入来运行程序,例如:Camus.exe 192.168.1.1 555
如何反沙箱
qq_60870726的博客
11-18 856
反沙箱的理论学习笔记
花式反沙箱
moresec的博客
01-12 2465
目前沙箱正成为判断恶意威胁的一种最快速和最简单的方式,因此反沙箱检测在实战中发挥越来越重要的作用,无论是从反溯源还是延长加载器寿命的角度,反沙箱都是红蓝对抗中不可或缺的一环。我会着重讲解我觉得有趣的手法,当然有趣不等于实用,如果你分析过APT组织的样本,会发现那些原理简单且有效的方法会被更多的使用(比如主机名/用户名/进程黑名单,环境检测,用户交互检测等),这些方法往往都是复合使用的,因为很难有一种方法可以适用所有场景。出于学习的目的我们应该都了解一下。
反沙箱初探-api模拟
padandf的博客
02-04 184
调用冷门api进行反沙箱
反虚拟机、反沙箱技术整理汇总
人饭子的博客
11-06 1525
反虚拟机、反沙箱技术整理汇总安全狗的⾃我修养 2022-11-06 15:49 反虚拟机、反沙箱技术整理汇总 延迟执⾏ 因为沙箱对样本运⾏时间有限制,使⽤已知的windows Api(例如NtDelayExecution, CreateWaitTableTImer,SetTimer等)将恶意代码的执⾏延迟了⼀段时间。 延迟执⾏ -GetTickCount 检查机器运⾏时间,创建超过设定时间的快照...
反沙箱CobaltStrike木马加载器分析
墨痕诉清风的博客
06-13 1845
1.计算Sleep类函数延时时间与实际流逝时间是否匹配可判断环境是否为正常。对沙箱来说,跳过Sleep节约时间成本是有必要的不可省去,但可适当处理GetTickCount类函数,使其与延时时间匹配。2.对于动态解密,打好断点动态分析比静态分析省时间,至少对我这种刚上路的菜狗来说是这样。3.CertEnumSystemStore可作为CertEnumSystemStore替代品用于执行Shellcode。近日,笔者参加了浙江护网,在攻击队停止攻击的那一天凌晨,Windows服务器被攻破大量失分,早晨溯源时拿到
一些使用 Golang 实现的反沙箱技术 - Anti-Sandbox-Go
yutianovo的博客
03-08 1051
一些使用 Golang 实现的反沙箱技术
ShellcodeLoader:RSA加密与动态编译exe的反沙箱技术实现
标题和描述中提到的技术知识点十分丰富,涉及到编程加密、动态编译、反沙箱技术等多个层面。下面对这些技术点进行详细解读。 1. ShellcodeLoader概念: ShellcodeLoader是一个使用RSA加密技术将shellcode(通常指小...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

信安成长日记

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值