V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
edis0n0
V2EX  ›  信息安全

virustotal 这样的服务是怎么跳过恶意程序里的长 sleep 执行恶意代码用于检测的?

  •  
  •   edis0n0 · 2022-12-22 00:22:42 +08:00 · 1969 次点击
    这是一个创建于 463 天前的主题,其中的信息可能已经有所发展或是发生改变。

    随便写了个样本测试这个服务,会在 1 小时 sleep 后收集一部分客户端信息 post 给我,结果真收到了 post

    7 条回复    2022-12-22 16:11:15 +08:00
    qwqdanchun
        1
    qwqdanchun  
       2022-12-22 02:10:23 +08:00   ❤️ 1
    行为是用的沙箱模拟,沙箱相当于自己实现了大部分常见 api 去模拟执行,只需要在 sleep 等函数的实现上只记录不实际执行就可以了
    v2byy
        2
    v2byy  
       2022-12-22 07:22:43 +08:00 via iPhone
    hook ,sleep 加速
    rootkitjump
        3
    rootkitjump  
       2022-12-22 08:23:31 +08:00
    hook 常见的一些 sleep 函数
    Greenm
        4
    Greenm  
       2022-12-22 09:56:16 +08:00
    这些常见的系统调用都 hook 掉了,比如还有监测虚拟机进程的,监测硬盘大小,鼠标移动轨迹等等调用。

    当然早期它没做得这么完善,攻防对抗都是螺旋上升的。
    NoAnyLove
        5
    NoAnyLove  
       2022-12-22 10:34:49 +08:00
    VirusTotal 有沙箱功能吗?
    hcocoa
        6
    hcocoa  
       2022-12-22 11:43:58 +08:00
    能不能通过对比系统时间变化来判断 sleep 被加速了?
    disk
        7
    disk  
       2022-12-22 16:11:15 +08:00
    @hcocoa 不一定可以,有些分析引擎具有类似符号执行的能力,能够遍历可能分支,这种判断可能会被过掉
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   990 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 20:17 · PVG 04:17 · LAX 13:17 · JFK 16:17
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.