沙箱逃避技术点滴记录

最新推荐文章于 2025-05-09 16:06:39 发布
最新推荐文章于 2025-05-09 16:06:39 发布
阅读量130 收藏
点赞数
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_34013044/article/details/85196943
本文介绍了恶意代码如何通过多种手段逃避沙箱检测,包括仅在特定用户行为触发时执行、延迟激活直至系统重启及采用多组件协作等策略,对安全防护提出了新的挑战。

updated @ 2014-2-3

沙箱逃避技术,就是恶意代码想方设法逃避沙箱技术的检测的技术。目前,业界也将采用这种技术的***行为称作“沙箱感知的***”,或者“沙箱感知恶意代码”,即Sandbox-aware Attack , Sandbox-aware Malware。随着诸如FireEye这类公司的兴起,沙箱逃避技术的研究越来越多。

之前在《新型威胁分析与防范研究》中有介绍。这里在记录点滴。

1)有的恶意代码只有在用户鼠标移动的时候才会被执行,从而使得很多自动化执行的沙箱没法检测到可疑行为。

2)有的恶意代码会在植入后暂时停止运行或者删除自己,直到用户重启系统后开始工作。这样,沙箱就麻烦了。

3)恶意代码做成多个,互相协作来完成特定的工作。这对沙箱也是一个挑战。因为有的沙箱一次就加载一个可疑代码进行行为检测。


对抗不断升级,沙箱技术的有效性也不断面临***们的智慧挑战。

沙箱方法
SHELLCODE_8BIT的博客
07-20 1269
1.1主机指纹特征。1.2主机流量特征。
数据沙箱技术Sandbox
m0_59777389的博客
12-09 6789
‌‌数据沙箱是一种用于隔离和管理数据分析环境的虚拟环境‌。数据沙箱是一种隔离环境,它允许用户在其中运行程序和处理数据,而不会影响到外部系统或数据的安全性。通过使用虚拟化技术、访问控制技术和防躲避技术,数据沙箱能够确保可疑文件或程序在隔离环境中运行,从而保护主机和操作系统免受病毒和未知威胁的侵害。利用虚拟化技术在本地或云端构建数据隔离环境(即“数据沙箱”),允许用户在沙箱内对数据进行分析处理,但原始数据始终保持在安全边界内。沙箱是一种用于隔离和管理网络环境的虚拟环境。
ShellcodeLoader:将shellcode用rsa加密并动态编译exe,自带多个反沙箱技术
03-19
ShellcodeLoader 将shellcode用rsa加密并动态编译exe,自带多个反沙箱技术。 如果要用.NET 2.0编译请手动编译,csc不支持某些代码 反沙箱 判断父进程是否为调试器 判断时间是否加速 一般沙盘内的程序时间都会加速。 判断进程是否有黑名单 判断是不是虚拟机,不过有几个vm进程是本机也会存在的,怕误报可以手动修改黑名单列表。 判断MAC地址是否有黑名单 判断是不是虚拟机的mac地址,有几个地址只要本机有装虚拟机也会有,怕误报可以手动修改黑名单。 判断系统盘是否大于50GB 一个正常的PC的系统盘都会大于50GB。 使用 一般的: 运行生成的exe文件 争论: 程序会保存加密好的数据到Output.txt shellcode.exe“私钥”“加密shellcode” 更新 20200709: 新增x86远程注入(直接复制CACTUSTORCH的) 已知问题 远程
沙箱对抗之反沙箱技巧
SHELLCODE_8BIT的博客
10-22 1731
我们经常会在红蓝对抗中遇到这种场景,离线免杀,但是10分钟又被杀,这就是云查杀的威力,而云查杀可以分为下列两种:1.静态分析2.动态分析。
沙箱的初探
padandf的博客
02-04 583
沙箱的初探
Firehunter APT沙箱安全技术方案.pptx
10-12
"Firehunter APT沙箱安全技术方案" .Firehunter APT沙箱安全技术解决方案是华为提供的一种APT沙箱安全解决方案,旨在检测和防御APT攻击。该解决方案基于行为特征检测和机器学习技术,能够检测未知恶意文件和未知...
云原生沙箱环境技术概述.pdf
10-15
为解决这些问题,云原生沙箱环境技术应运而生,下面将详细介绍此技术的核心知识点。 首先,云原生沙箱环境技术的出现,是为了降低云原生技术的使用门槛,提供一个简单、免费的环境,让开发者可以轻松地进行学习、...
Firehunter APT沙箱安全技术方案.pdf
10-12
华为FireHunter6000系列沙箱采用动态和静态检测相结合,利用机器学习技术,能在虚拟环境中运行可疑文件,识别并防御恶意文件的分片分段、加壳等逃避技术。它能够检测多种文件格式,包括Windows可执行文件、Web网页、...
沙箱原理介绍,沙箱的分类
08-05
逃逸对抗是沙箱技术中的一个重要环节,因为黑客可能会设计恶意代码来检测是否运行在虚拟环境中,从而逃避检测。逃逸对抗技术(也称为沙箱反逃逸技术)旨在模拟真实的运行环境,使恶意程序无法察觉其处于沙箱之中。这...
Camus:Reverse_Shell在C ++中实现,可以绕过沙箱
04-02
加缪 Reverse_Shell用C ++实现,能够通过检测鼠标移动来绕过沙箱 特征: 通过C ++实现的Reverse_shell 通过识别鼠标移动来绕过沙箱 动态API解析,可绕过静态分析 零检测率(在发言时) 使用方法:以IP地址和端口作为输入来运行程序,例如:Camus.exe 192.168.1.1 555
反虚拟机、反沙箱技术整理汇总
人饭子的博客
11-06 1542
反虚拟机、反沙箱技术整理汇总安全狗的⾃我修养 2022-11-06 15:49 反虚拟机、反沙箱技术整理汇总 延迟执⾏ 因为沙箱对样本运⾏时间有限制,使⽤已知的windows Api(例如NtDelayExecution, CreateWaitTableTImer,SetTimer等)将恶意代码的执⾏延迟了⼀段时间。 延迟执⾏ -GetTickCount 检查机器运⾏时间,创建超过设定时间的快照...
反向沙箱介绍
最新发布
a15995989443的博客
05-09 489
技术原理与传统沙箱形成逆向操作逻辑:在保持终端设备物理隔离的前提下,通过专用沙箱环境建立受控网络通路,实现"数据不出域、风险不入网"的安全范式。该架构通过"终端沙箱化-网关代理化-流量净化"的三重防护机制,确保互联网访问行为完全运行于隔离沙箱环境,实现主机系统与互联网的物理隔离。该技术现已成为金融、能源、政务等关键行业的基础安全设施,据IDC报告显示,2023年中国反向沙箱市场规模已达12.7亿元,年复合增长率达31.6%。安全访问赋能:在保证网络隔离的前提下,实现业务必需的外网访问需求。
反向沙箱技术:安全隔离上网
shenxinda_lu的博客
07-01 928
未来,深信达反向沙箱将进一步提升其智能化水平,通过引入人工智能和机器学习技术,实现更为精准和高效的威胁分析与响应。深信达反向沙箱技术,以其独特的设计和强大的功能,成为保障政务系统信息安全的重要利器。反向沙箱是一种创新的信息安全防护技术,其核心理念是将主机系统置于高安全区,与外部互联网物理隔离,同时在低安全区创建一个沙盒空间,与互联网打通。通过这种设计,反向沙箱能够有效防范外部网络威胁,确保主机系统的安全。总之,深信达反向沙箱技术凭借其独特的设计理念和强大的功能,为业务系统的信息安全提供了坚实的保障。
反向沙箱是什么?如何使用反向沙箱保障上网安全
Felixwb的博客
08-16 610
例如,深信达的SPN(Sandbox Proxy Network)安全上网解决方案,通过在内网中部署沙盒安全上网网关主机,实现了终端设备与外网的物理隔离。当需要访问互联网时,终端设备会在沙盒环境中进行操作,从而确保本机与互联网的隔离,只有沙盒能够访问互联网。它通过在企业内部部署一个隔离的沙盒环境,实现安全的互联网访问,从而保护本地数据的安全性,防止病毒和木马的入侵。通过这种解决方案,企业可以在享受互联网带来的便利的同时,确保其数据和信息的安全性。-上网空间浏览的文本内容,可以通过拷贝粘贴到主机环境;
如何应对沙箱环境中的反沙箱技术
图幻未来的博客
12-27 606
本文将分析反沙箱技术的原理和影响,并提出相应的解决方案。1. **性能下降**:由于反沙箱技术需要模拟复杂的操作系统和环境,因此会消耗更多的计算资源,导致应用程序的性能下降。4. **加强安全监测**:加强对应用程序的安全监测,及时发现并处理潜在的恶意行为,可以有效减轻反沙箱技术带来的影响。2. **兼容性降低**:反沙箱技术可能会导致应用程序与宿主机之间的兼容性问题,因为它们是在不同的环境中运行的。1. **优化代码**:通过优化应用程序的代码,可以减少潜在的安全漏洞,从而减少反沙箱技术检测到的可能性。
免杀对抗-基础知识入门和如何对抗反沙箱、反调试技术 第一天
2301_77578012的博客
10-27 1425
【代码】免杀对抗-基础知识入门和如何对抗反沙箱、反调试技术 第一天。
沙箱CobaltStrike木马加载器分析
墨痕诉清风的博客
06-13 1862
1.计算Sleep类函数延时时间与实际流逝时间是否匹配可判断环境是否为正常。对沙箱来说,跳过Sleep节约时间成本是有必要的不可省去,但可适当处理GetTickCount类函数,使其与延时时间匹配。2.对于动态解密,打好断点动态分析比静态分析省时间,至少对我这种刚上路的菜狗来说是这样。3.CertEnumSystemStore可作为CertEnumSystemStore替代品用于执行Shellcode。近日,笔者参加了浙江护网,在攻击队停止攻击的那一天凌晨,Windows服务器被攻破大量失分,早晨溯源时拿到
沙箱——SetErrorMode
weixin_30577801的博客
04-19 829
目录 1.前言 2.原理讲解 3.代码实现 4.参考 1.前言 利用SetErrorMode进行反沙箱技术,在2010年就有被提出,但是之前搜了很久都没有相关内容,这里简单的说一下这个反沙箱的实现。反沙箱参考GandCrab5.2。 2.原理讲解 首先讲一下SetErrorMode这个函数,SetErrorMode是用于设置如何处理程序错误的,设置不同的值有不同的作用...
深入解析IDS逃避技术及其防御策略
使用多层次的防御措施,结合IDS与入侵防御系统(Intrusion Prevention System,IPS)、防火墙和沙箱技术等,共同提高系统的安全性。 b. 持续更新和维护(Continuous Update and Maintenance) 定期更新签名...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值