检测app.any.run沙箱运行环境

最新推荐文章于 2025-08-25 00:06:32 发布
原创 最新推荐文章于 2025-08-25 00:06:32 发布 · 1.6k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#anti-sandbox #检测沙箱

本文介绍了一种检测App.any.run沙箱环境的方法,通过查找特定的进程'host.exe',该进程在正常系统中不存在,但在沙箱环境中出现。使用C++编写了检测代码,实现了恶意代码在沙箱环境中的行为检测。

检测app.any.run沙箱环境,先写了个遍历进程的demo传上去,看看进程列表有什么沙箱特有的进程。
发现个进程很奇怪,路径是:c:\windows\system32\host.exe ,竟然没有随机名
在这里插入图片描述
正常的系统下是没有这个文件的,所以就拿这个来做了,效果图
在这里插入图片描述

检测代码:

#include "stdafx.h"
#include <windows.h>
#include <string>
#include <fstream>
#include <iostream>
using namespace std;

inline bool exists_test0(const std::string& name) {
    ifstream f(name.c_str());
    return f.good();
}
int _tmain(int argc, _TCHAR* argv[])
{
    string test_file = "c:\\windows\\system32\\host.exe";
    if (exists_test0(test_file))
    {
        cout << "detected sandbox" << endl;
    }
    else
    {
        cout << "executing malicious code" << endl;
    }
    system("pause");
	return 0;
}
资源分享·病毒样本下载资源分享
不忘初心,护天下安全!
04-23 2万+
一、微步云沙箱 微步在线云沙箱https://s.threatbook.cn/ 使用病毒sha256即可寻找病毒样本;该站点也可上传可疑文件/可疑URL地址到沙箱中,进行分析 。 以永恒之蓝为例,样本sha256是:ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa 下载样本或流量监控,需要消耗积分: 二、AnyRun Interactive Online Malware Analysis Sandbox.
APP测试之环境相关的测试
天高地阔的专栏
10-21 723
在实际项目中,有一些缺陷我发现是和App所处的运行环境相关的,所以设计测试的时候,要多考虑这些场景,比如: 干扰测试   收到电话、收到短信、收到通知栏消息、无电提示框弹出、第三方安全软件告警弹出。 权限测试   一些用户在实际使用App的时候回有意识阻止某些功能。例如有的用户感觉让某个App访问电话本或者相册可能泄漏隐私,就在手机中设置了禁止了该App访问相册的权限,禁止使用...
5款免费检测恶意软件的云沙箱推荐
IT教育任姐姐的博客
06-09 5244
Yomi The Malware Hunter需要用户在完成注册后才能使用文件上传和检测功能,它可以检测目前大多数的恶意软件威胁,并提供全面的静态分析、行为分析和网络分析服务。为了更好的防护恶意软件,避免由恶意软件造成的危害,必须对恶意软件进行分析,以了解恶意软件的类型、性质和攻击方法。该工具将许多分析工作都通过自动化方式去实现,因此对于刚接触网络安全分析的用户来说,这是一款非常不错的入门级工具,不需要专业的安全知识积累就可以快速地上手应用。
CodeSandbox沙箱环境:浏览器与虚拟机执行引擎
gitblog_00171的博客
08-25 494
CodeSandbox沙箱环境:浏览器与虚拟机执行引擎 【免费下载链接】codesandbox-client 项目地址: https://gitcode.com/gh_mirrors/cod/codesandbox-client...
Xposed那些事儿 — xposed框架的检测和反制
dfa7886的博客
09-13 1400
之前看到有人发了关于使用xposed屏蔽抖音检测xposed的思路(https://www.52pojie.cn/thread-684757-1-1.html),贴出了部分伪代码,但觉抖音写的蛮有意思的,自己对这方面也不是很清楚,毕竟Android我没怎么学习。借这个机会,了解一下。写的不是很清楚,大家多多抱哈啊!~~整理了一下文档,我发现抖音主要使用了以下的手段检测xposed。 ...
app沙箱化_企业现代化与SOA沙箱
cusi77914的博客
06-28 290
来自developerWorks档案库 developerWorks Rational 存档日期:2019年5月15日 | 首次发布:2011年4月12日 这些不是模拟或罐装演示。 您登录到实际的,正在运行的IBM大型机和企业现代化软件,并按照动手实践来指导您完成实际的开发场景。 无需安装,因此不会破坏您自己的系统和设置,因为沙箱在云环境中运行。 亲身体验IBM Enterpris...
10个常用恶意软件检测分析平台(网工精选)
热门推荐
mengmeng_921的博客
01-10 1万+
微步在线云沙箱基于多款反病毒引擎检测,快速检测已知威胁,利用虚拟化沙箱深度分析技术,实现恶意文件自动化、可定制化的行为分析,检测未知威胁,集成微步多个核心的高级情报分析系统。它可以结合多AV引擎检测、虚拟环境行为分析、威胁情报关联、自动化文件tag、启发式检测等技术,提供更精准的检测结果、可以满足多个场景下对恶意软件的检测、研判、分析需求。总的来说,Hybrid Analysis是一个功能强大的恶意软件分析平台,通过结合静态和动态分析技术,帮助用户识别和理解恶意软件的行为,从而加强安全防护和应对策略。
Codes3D.zip运行时沙箱监控:动态捕获API调用链的8项行为指标分析
Codes3D.zip沙箱系统通过构建隔离运行环境与动态监控机制,实现对恶意代码行为的深度分析。本文系统阐述其核心架构与API调用链的动态捕获技术,涵盖系统调用拦截、上下文关联建模及多层级行为采集设计,提出基于八项...
我的入口文件应该是app.ts
最新发布
11-14
UMIJS 默认使用 `src/app.ts` 来配置运行时行为,但作为子应用,我们需要在其中**注入 qiankun 的生命周期逻辑**。 --- ### ✅ 正确配置方式:在 `src/app.ts` 中导出生命周期函数 ```ts // src/app.ts import {...
病毒分析快速入门01--分析环境搭建
morta1的博客
03-22 1911
小C无聊的躺在床上,刷着#开学#话题微博。 都怪这该死的疫情,开学一拖再拖,在教室后排偷看女神的机会又少了。 开学之日恐怕即是毕业之时了,小c 在失去女神背影患得患失的心情中,也不得不考虑 工作的问题。 回顾大学四年,小c所得称号最多得只有: “召唤师峡谷黑铁战五渣,海岛雨林人体描边大师”。 以及刚好及格得c语言,一点点汇编知识,OD F2下断点,f9运行,f7步进,f8步过。IDA F5。 想着...
NodeJS VM沙箱逃逸
rev1ve的博客
10-22 1003
什么是沙箱sandbox)当我们运行一些可能会产生危害的程序,我们不能直接在主机的真实环境上进行测试,所以可以通过单独开辟一个运行代码的环境,它与主机相互隔离,但使用主机的硬件资源,我们将有危害的代码在沙箱中运行只会对沙箱内部产生一些影响,而不会影响到主机上的功能,沙箱的工作机制主要是依靠重定向,将恶意代码的执行目标重定向到沙箱内部。我们都知道函数内和函数外是两个作用域,不过当在函数中的作用域想要使用函数外的变量时,要通过形参来传递,当参数过多时这种方法就变的麻烦起来了。
沙箱软件测试环境搭建
03-01
### 如何搭建沙箱软件测试环境最佳实践 #### 选择合适的隔离技术 为了创建一个有效的沙箱环境,必须采用适当的隔离机制。容器化技术和虚拟机是两种常见的解决方案。Docker因其轻量级特性和易于管理而成为首选方案之...
勒索病毒Kraken2.0.7分析
MachineGunJoe666
05-19 942
病毒信息 名称:Kraken_2.0.7.exe 病毒类型:勒索病毒 样本链接:https://app.any.run/tasks/32186bb2-60c2-4980-8bf8-4b2742697df4/# 样本md5:bcd2a924ee16f3a2ed4b77d0c09fc3a0 初步分析 根据app.any.run分析,该病毒会穷举进程列表并执行 bat,然后完全加密用户文件(无法通过磁盘回复软件恢复),最后删除自身。 软件运行截图 在虚拟机中解压杀毒软件会报毒 ..
恶意软件样本从哪儿来
pandazhengzheng的博客
02-02 2123
恶意软件样本从哪儿来?
推荐一些免费下载恶意样本的网站
信息安全
09-25 6300
前一阵微步下载样本开始收费,算是又断了一个很好的白嫖途径。目前工作需求是不定期获取一批不同家族样本,看了看微步基础会员每天5次的下载限制,我默默把微步网页点了X,选择其他网站进行白嫖。
病毒分析快速入门02-实战Quasar RAT之动态行为
morta1的博客
03-22 1266
概述 小c忙活半天,总算把环境配好。 前期准备完成,便可以着手进行样本分析了。 样本可从app.any.run获取,使用邮箱免费注册后,便可以下载该沙箱的公开样本 小c随便在该沙箱选择了一个样本,下载,准备开搞 动态行为 在样本分析的过程中,首先通过虚拟机,沙箱等运行样本,看样本执行什么样的行为,再根据其行为去分析样本中代码,这样的方式有助于加快分析速度。 本地虚拟机 首先通过第一节搭建的分析环...
Anyrun 开源项目教程
gitblog_01126的博客
10-11 1000
Anyrun 开源项目教程 1. 项目介绍 Anyrun 是一个基于 Wayland 的本地运行器,类似于 Krunner,旨在提供高度可定制的体验。它使用 GTK+ CSS 进行样式定制,并且可以执行几乎任何任务,只要任务能够处理输入和选择。Anyrun 的设计理念是易于创建插件,只需四个函数即可实现一个插件。 主要特性 样式定制:使用 GTK+ CSS 进行样式定制。 多功能性:可以执行几乎...
Anyrun:Wayland 原生 Krunner 风格的运行器
gitblog_00678的博客
09-24 500
Anyrun:Wayland 原生 Krunner 风格的运行器 项目介绍 Anyrun 是一款专为 Wayland 设计的原生 Krunner 风格运行器,旨在提供高度可定制化的用户体验。它不仅仅是一个简单的运行器,更是一个功能强大的工具,能够根据用户的需求进行灵活配置和扩展。Anyrun 的核心理念是“任何事情都可以做”,只要它能够处理输入和选择。 项目技术分析 Anyrun 的技术架构基于 ...
Anyrun 项目常见问题解决方案
gitblog_00033的博客
12-13 1138
Anyrun 项目常见问题解决方案 项目基础介绍 Anyrun 是一个基于 Wayland 的、高度可定制的运行器(runner),类似于 KDE 的 Krunner。该项目的主要目标是提供一个灵活的工具,允许用户通过输入命令快速访问应用程序、执行操作或查询信息。Anyrun 的设计理念是易于扩展,用户可以通过编写插件来实现自定义功能。 Anyrun 项目主要使用 Rust 编程语言开发,Rust...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值