反沙盒和反虚拟机工具

引言

为了逃避分析，现代恶意软件配备了反分析技术。恶意软件通常会在运行时检查是否存在任何虚拟化环境、任何恶意软件分析沙盒或任何分析工具。

sems 是一种工具，旨在通过检查其环境是否存在任何虚拟化技术、恶意软件沙盒工具或广为人知的恶意软件分析工具的签名，来帮助恶意软件研究人员。sems 使用相同的技术并寻找与规避恶意软件相同的足迹，以检测它是否在受控环境中运行。因此，对于恶意软件研究人员来说，检查分析环境是否不可避免是有用的。

它是如何工作的？

虚拟机

一旦该工具在虚拟机（Virtualbox、Vmware、Qemu）中运行，它将执行下面显示的所有检查，并将检测到的签名的日志输出到控制台，直到显示“control”文本。此外，对于每个检测到的签名，都会在运行目录中创建一个带有查找名称的单独的 .txt 文件。例如：vboxBios.txt 将为 virtualbox bios 签名创建。

恶意软件沙盒

sems 工具像任何其他恶意软件样本一样被发送到恶意软件沙盒，并等待分析完成。检测到的签名可以在沙盒报告的“文件操作”部分中看到，因此 sems 为每个发现都丢弃单独的 .txt 文件。

示例检测签名

当 sems 发送到 Cuckoo 沙盒时发现的签名（创建的文件）： 

完整报告可以在 https://malwr.com/analysis/OWZmMWYzNmJkNDM3NGExMWFjODY2MGE2OWZmZjQzZjE/ 中找到（2016 年 4 月 7 日）

在 VMware 中运行 sems 时发现的签名： 

在 VirtualBox 中运行 sems 时发现的签名： 

在 Cuckoo 中运行 sems 时发现的签名： 

Cuckoo 完整报告可以在 : https://malwr.com/analysis/OTJmMDlhOWViMjlhNGY1MDgzNmM5ZDMzZGZlZjI2ZDg/ 中找到

在 ThreatExpert 中运行 sems 时发现的签名： 

Threatexpert 完整报告可以在 : http://www.threatexpert.com/report.aspx?md5=b75f84ea8a08eade90e7afd499cd14e1 中找到

在 Comodo 中运行 sems 时发现的签名： 

Comodo 完整报告可以在 : http://camas.comodo.com/cgi-bin/submit?file=8a7962a180d09fe3274c09abe4eb9182b500360cb72ef2f1070226db4c01e699 中找到

在 Payload Security 中运行 sems 时发现的签名： 

Payload Security 完整报告可以在 : https://www.hybrid-analysis.com/sample/3a5481d105673bf20256512c9a32b60e946a240c1793e2603c226c788f234055?environmentId=1 中找到

VirtualBox 检测

• 文件
• 注册表
• 文件夹
• 服务
• Mac
• Bios
• Window

VMWare 检测

• 文件
• 文件夹
• 注册表
• 服务
• Mac
• Bios
• Window
• Magic
• 内存
• 版本
• IDTR, LDTR, TR, SMSW, I/O 端口

QEMU 检测

• 注册表
• Bios
• CPU

Cuckoo 沙盒检测

• 文件
• 文件夹
• 端口
• Hooked 函数
• 核心数
• 管道
• 模块

一些沙盒检测

Anubis , Thread Expert , Cuckoo , Sandboxie , CWSandbox

• 计算机名称
• 核心数
• 模块
• 检查网络
• 磁盘空间
• 文件

分析工具检测

• Immunity Debugger
• Ollydbg
• Ida Pro
• Regshot
• Fiddler
• Wireshark
• Process Monitor
• Process Hacker
• Process Explorer

重要提示：该项目仅用于教育目的。策展人对任何非法使用不承担责任。