virustotal 这样的服务是怎么跳过恶意程序里的长 sleep 执行恶意代码用于检测的?

2022-12-22 00:22:42 +08:00
 edis0n0

随便写了个样本测试这个服务,会在 1 小时 sleep 后收集一部分客户端信息 post 给我,结果真收到了 post

2025 次点击
所在节点    信息安全
7 条回复
qwqdanchun
2022-12-22 02:10:23 +08:00
行为是用的沙箱模拟,沙箱相当于自己实现了大部分常见 api 去模拟执行,只需要在 sleep 等函数的实现上只记录不实际执行就可以了
v2byy
2022-12-22 07:22:43 +08:00
hook ,sleep 加速
rootkitjump
2022-12-22 08:23:31 +08:00
hook 常见的一些 sleep 函数
Greenm
2022-12-22 09:56:16 +08:00
这些常见的系统调用都 hook 掉了,比如还有监测虚拟机进程的,监测硬盘大小,鼠标移动轨迹等等调用。

当然早期它没做得这么完善,攻防对抗都是螺旋上升的。
NoAnyLove
2022-12-22 10:34:49 +08:00
VirusTotal 有沙箱功能吗?
hcocoa
2022-12-22 11:43:58 +08:00
能不能通过对比系统时间变化来判断 sleep 被加速了?
disk
2022-12-22 16:11:15 +08:00
@hcocoa 不一定可以,有些分析引擎具有类似符号执行的能力,能够遍历可能分支,这种判断可能会被过掉

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/904029

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX