由于云端杀毒的流行,病毒基本上都会加上anti-sandboxes手段来躲避沙箱的探测,在这点上,由于一些原因,最近也一直在做这一块,所以算是总结一下吧。
一:什么是沙箱以及其他:
根据受控环境中的观察行为确定文件是否恶意。沙箱允许恶意软件执行所有恶意??操作,并记录生成的行为。过了一段时间后,分析停止,检查结果并扫描典型的恶意行为模式。基于行为的恶意软件检测仅在观察文件在其分析期间实际执行恶意操作时有效。如果 - 无论什么原因 - 在分析过程中都没有执行有害的操作,则沙箱得出结论:被检查的文件是良性的。
所以,这也得出了anti-sandboxes的两种方式,一种是检测到沙箱之后,直接退出进程,另一种就是
anti-sandbox大致可以分为三种类型:
1:直接检查沙箱
2:利用沙箱的一些缺陷进行检测
3:利用运行时环境进行检测
1:直接检查沙箱
关于沙箱的检查,其实任何和正常主机相似的地方都可以作为anti方法
原文地址:http://www.cnblogs.com/0xJDchen/p/7134200.html
