问恶意软件沙箱检测

EN

从本指南开始-- https://github.com/hfiref0x/VBoxHardenedLoader --这是令人难以置信的最新进展--使VirtualBox客户VM更难检测--包括2017年有效的技术。这肯定会使您的自动化恶意软件分析计划和目标更容易实现。

考虑使用VirtualKD在客户VM之外进行跟踪和调试，如以下三本书所示: 1) Windows恶意软件分析要点；2)灰帽子黑客第4版；3)实用逆向工程。您可以使用qb同步温布格和between之间的视图.

更喜欢VirtualKD，而不是其他的用户调试技术，如Scylla、HideToolz、HideCon等。这些都不是很好，因为击败VM检测已经足够困难了。击败反调试和相关的不良行为只需要太多的工作在用户土地上。

和sems工具一样，Pafish也有点过时了。我建议您使用-- https://github.com/LordNoteworthy/al-khaser --来对您的自动化恶意软件分析进行压力测试，使用沙箱(如来宾VM)。

在这些博客中还有关于VM检测的其他信息：

• https://byte-atlas.blogspot.com/2017/02/hardening-vbox-win7x64.html
• https://bdavis-cybersecurity.blogspot.com

请直接向https://reverseengineering.stackexchange.com/提出二进制分析和逆向工程问题，特别是当您刚刚开始的时候，因为已经有大量的相关知识在那里被分享，专业的逆向工程师和恶意软件分析师经常参与和贡献这些知识。

可能相关的现有问答：

首先也是最重要的：如何安全地分析潜在有害的二进制文件？

如果您想动态分析使用反分析技术的PE二进制文件，ScyllaHide、豁免调试器和欺骗引擎可能会很有用。看见

• 通过了很多针对windows exe的反调试措施。
• 有任何OllyDbg反调试/反调试插件什么工作的Windows7 7/NT6.x？

了解更多信息。

根据本文基于虚拟机检测的恶意软件研究，根据用于检测程序是否在VM中运行的方法，修补二进制代码可能很简单，这样这些方法就不会执行。

Ed在上述文章中提到的一篇名为论刀刃:阻碍虚拟机检测的2006年论文也可能给你一些想法。

二进制文件所使用的VM检测技术也可能取决于编写它的时间:根据2014年赛门铁克的文章恶意软件还能检测到虚拟机吗？，

大多数示例使用内置VM检测的运行时打包器。一般来说，这意味着封隔器或密码器将执行检测，而不是样本本身。恶意软件作者已经意识到，当应用程序检测到它正在VM上运行时，它是可疑的，因此他们在最近几年停止使用这些特性。

如果您想要分析的一些二进制文件是这样的，那么这些二进制文件可能包含有用的信息：

• 以通用方式解压缩二进制文件
• 静态解压二进制

除了传统的方法外，还存在一些二进制工具框架，如angr和val差制，它们可以完成动态分析，而无需执行二进制的原始目标代码。

如果所有这些都对您没有帮助，那么在https://reverseengineering.stackexchange.com/上提出一个新的问题。