virustotal 这样的服务是怎么跳过恶意程序里的长 sleep 执行恶意代码用于检测的?
edis0n0 · 2022-12-22 00:22:42 +08:00 · 2320 次点击这是一个创建于 695 天前的主题,其中的信息可能已经有所发展或是发生改变。
随便写了个样本测试这个服务,会在 1 小时 sleep 后收集一部分客户端信息 post 给我,结果真收到了 post
7 条回复 • 2022-12-22 16:11:15 +08:00
 |
1
qwqdanchun 2022-12-22 02:10:23 +08:00  1
行为是用的沙箱模拟,沙箱相当于自己实现了大部分常见 api 去模拟执行,只需要在 sleep 等函数的实现上只记录不实际执行就可以了
|
 |
2
v2byy 2022-12-22 07:22:43 +08:00 via iPhone
hook ,sleep 加速
|
 |
3
rootkitjump 2022-12-22 08:23:31 +08:00
hook 常见的一些 sleep 函数
|
 |
4
Greenm 2022-12-22 09:56:16 +08:00
这些常见的系统调用都 hook 掉了,比如还有监测虚拟机进程的,监测硬盘大小,鼠标移动轨迹等等调用。
当然早期它没做得这么完善,攻防对抗都是螺旋上升的。 |
 |
5
NoAnyLove 2022-12-22 10:34:49 +08:00
VirusTotal 有沙箱功能吗?
|
 |
6
hcocoa 2022-12-22 11:43:58 +08:00
能不能通过对比系统时间变化来判断 sleep 被加速了?
|
Select Language