样本反沙箱机制总结

样本反沙箱机制总结

1. 查找虚拟机特征，指定的文件，进程，注册表项等
2. CPUID返回结果
3. 屏幕分辨率
4. 机器内存大小，硬盘大小
5. 用户名
6. 检查鼠标键盘的活动频率
7. 检查系统是否有使用痕迹，比如最近使用文件是否为空，开机时间是否太短
8. 检查磁盘是否只有C盘
9. 使用拟态按钮，增加沙箱自动获取需点击目标难度
10. 设置自启动，重启才做敏感操作
11. 先休眠一段时间，然后再做真正敏感操作
12. 前期大量调用无用api，消耗大量时间后才做真正的敏感操作
13. 参数限制，只有参数个数或其他条件符合时，才执行敏感操作，参数也可以设置密码，加解密资源或代码
14. 检查父进程文件名是否为explorer.exe
15. 相邻文件反沙箱：传输2个文件，其中一个没有实际功能仅被用于确定是否存在，如果不存在就退出

1-8是检测隔离环境特征，检测到了就不做敏感操作
9-12是根据沙箱的运行机制做相应规避
13比较通用，没有参数就不执行敏感操作
14也比较通用，效果较好
15针对的是沙箱逐个运行文件的特点

20201119
20201227 增加参数影响逻辑
20210113 增加盘符检测
20210420 增加父进程名检测