首页 > 其他分享 >【反沙箱系列】思路tips

【反沙箱系列】思路tips

时间:2024-08-27 11:05:34浏览次数:7  
标签:文件 判断 是否 CPU 微信 沙箱 tips 思路

常规

判断CPU核心数 dwNumberOfProcessors

判断RAM大小 GlobalMemoryStatus

判断硬盘大小 PhysicalDrive0

判断系统用户名

    以前有判断用户名的字典,现在一般都是DESKTOP-XXX随机的数字

判断工作组(域)

进阶

这部分有一个专业的术语 Pocket Litter

判断桌面上文件

    大多数沙箱桌面文件数量很少,且有各种office软件,但没有微信QQ之类的软件

    我们可以判断怎么文件数量小于某一个范围从而判断是否在沙箱

    判断桌面上有没有微信QQ企业微信,等符合国人常规习惯软件

判断临时文件数量

    相反,临时文件比一般正常用户多也可以判断为是沙箱

判断系统内有多少doc,xls,ppt类文件

    较少的都可能为沙箱

判断自身文件名有没有被修改

判断自身进程是否运行在一个时间范围内(apt常用,hvv常用)

判断系统语言 GetSystemDefaultLangID

    俄罗斯APT常用手段,判断为俄语就退出进程

判断自身被附加的dll制作黑名单

判断ip

    按照目标来判断

    例如我们目标是国内,就判断是否非国内ip,从而反制国外沙箱

    或者范围缩小到地级市

判断扬声器是否正常可调用

判断麦克风是否有响应

判断当前前台窗口数量

    虚拟机一般都较少

判断鼠标是否移动

    之前很火的方法GetCursorPos

    获取坐标后延迟两次 获取向量 看结果是否为一个类三角形若真则不是沙箱

    因为在ATT&CK框架中被标识 所以列入敏感行为

判断显卡显存大小

    一般家用机都为2gb以上,而沙箱不会给这么多

判断系统变量

    一般判断是否有虚拟机相关文件的环境变量

判断CPU温度

注意一下,建议使用GetSystemFirmwareTable api 获取SMBIOS中的硬件信息

使用wmi api将会变成敏感行为

还有其他奇奇怪怪的反沙箱方法

体积膨胀

    很多在线反沙箱系统都有大小限制,若你的样本大于300mb即可不被接收

反向收集

    编写一个用于收集沙箱指纹的样本,对沙箱的指纹进行归纳总结以便后面判断

压缩炸弹

    释放压缩包炸弹,挤占服务器资源

还有并不是一个程序只可以使用一次反沙箱代码。我们可以组合起来使用如:首先检测CPU核心如果大于2再检测内存大小,如果还是通过我们可以再检测进程数,如果都满足则上线。不满足则退出。但是这样做可能会影响你的木马上线。如果没有代码功底还是尽量少用。

标签:文件,判断,是否,CPU,微信,沙箱,tips,思路
From: https://www.cnblogs.com/o-O-oO/p/18382274

相关文章

  • Cyberchef实用功能之-模拟沙箱的文件静态分析能力
    本文将介绍如何使用cyberchef提取文件的重要元数据的信息,根据自己的需求实现沙箱中的静态文件的分析能力。在网络安全日常的运营,护网行动,重保活动的过程中,样本的分析是一个重要的过程,这些可疑或者恶意的样本的来源有如下几种:数据包流量中提取的样本EMAIL邮件附件中提取的......
  • 1047 Student List for Course【超简单思路,map,vector,对于超时问题】
    ZhejiangUniversityhas40,000studentsandprovides2,500courses.Nowgiventheregisteredcourselistofeachstudent,youaresupposedtooutputthestudentnamelistsofallthecourses.InputSpecification:Eachinputfilecontainsonetestcase.Fo......
  • tips in windows/ 1.windows文件路径最长限制
    1.windows文件路径最长限制场景:在用文件资源管理器删除名称超过255字符的文件(文件名最大字符限制就是255)时,发现删除不了,也没反应原因:windows删除调用的是explorer,对路径限制不能超过260,此时超过了,但又由于是应用层,所以不会直接给以报错。使用杀毒软件可以是因为他们调用的是......
  • 【保奖资料】2024年数学建模国赛B题保奖思路获取入口(后续会更新)
    您的点赞收藏是我继续更新的最大动力!一定要点击如下的卡片链接,那是获取资料的入口!现分享2022年数学建模国赛B题资料分享,供大家学习:B题公式和算法文档解释第一问根据题目可知以下几点无人机被动测距只能测得两个发射机的夹角,但是不能知道发射机位于接收机的绝对方位,因此......
  • 【保奖资料】2024年数学建模国赛B题保奖思路获取入口(后续会更新)
    您的点赞收藏是我继续更新的最大动力!一定要点击如下的卡片链接,那是获取资料的入口!现分享2022年数学建模国赛B题资料分享,供大家学习:B题公式和算法文档解释第一问根据题目可知以下几点无人机被动测距只能测得两个发射机的夹角,但是不能知道发射机位于接收机的绝对方位,因此......
  • 分享一个基于ChatGPT实现基于Convars布局思路的实现过程
    一、思路在AI的大背景,应用层算法已经不是问题,那么程序员的差距主要在认知思维模式和创新上面。目前AI的局限主要却决于沟通的效率,这是双方的问题,AI可能理解能力不足,或者提问者表达能力不足。这里我以PDFsharp实现Grid布局模式分享一下基于GPT实现的过程。因为PDFsharp只提供了XG......
  • 【LLM & RAG & text2sql】大模型在知识图谱问答上的核心算法详细思路及实践
    前言本文介绍了一个融合RAG(Retrieval-AugmentedGeneration)思路的KBQA(Knowledge-BasedQuestionAnswering)系统的核心算法及实现步骤。KBQA系统的目标是通过自然语言处理技术,从知识图谱中提取和生成精确的答案。系统的实现包括多个关键步骤:mention识别、实体链接及排序、属......
  • Github搜索小tips
    在GitHub上进行有效搜索可以帮助您更快地找到所需的代码、项目和用户。以下是一些实用的GitHub搜索技巧:关键词搜索直接在搜索框中输入相关关键词,例如pythonwebframework。限定搜索范围使用in:name、in:description、in:readme等限定词来指定搜索范围。例如:in:names......
  • 【Azure Redis】AKS中使用Lettuce连接Redis Cache出现 timed out 问题的解决思路
    问题描述使用Lettuce客户端,在AKS环境中连接AzureRedis服务,出现超时错误。错误消息:Rediscommandtimedout,commandtimedoutafter1minute(s). 错误截图: 解决思路当出现Redis客户端连接不上时,需要先排查Redis服务器的状态,比如ServerLoad是否处于高位(90%以上),CP......
  • 真实业务环境-需求分析思路(二)
    用户管理模块优化先聊一下写这次需求的感想,起初接下这个需求的时候,给我的感觉就是很简单,并且觉得代码三天不到就可以写完,即使是在业务不熟悉的情况下。然后就是经历了,第三方沟通需求、确定技术方案、熟悉用户管理涉及到的多个模块的业务细节、刷数SQL、优化代码避免出现超时...........