反沙箱CobaltStrike木马加载器分析

2023年10月22日 — 沙箱对抗之反沙箱技巧 原创 · 1.进程中包含vmtoolsd.exe · 2.利用真机和沙箱API调用结果不同来绕过，例如获取gpu温度，而沙箱肯定获取不到该值

2024年1月12日 — 目前沙箱正成为判断恶意威胁的一种最快速和最简单的方式，因此反沙箱检测在实战中发挥越来越重要的作用，无论是从反溯源还是延长加载器寿命的角度，反沙箱 ...

方法总结 ; checkUptime, 检测开机时间 ; checkCPUID, 使用 CPUID 指令 ; checkTempDir, 检测 TEMP 目录下的文件数量 ; checkHardwareInfo, 检测主板序列号、主机型号、系统盘 ...

增加了个反沙箱方式，针对defender.

猜测这段代码的原理是沙箱为了节省运行时间，处理了Sleep或SleepEx类的API，导致此类API无法正常延迟，通过记录时间检测是否跳过延时即可判断是否存在沙箱。

2023年11月30日 — 近期，天穹沙箱监测到LummaC2家族的新型变种样本活动。经过天穹沙箱和人工分析，我们发现该变种样本采用了一种新颖的反沙箱技术，以规避动态分析。

2022年11月6日 — 另⼀种⽅法，MSDN定义，“ProcessAffinityMask”是⼀个位向量，其中每个位代表允许进程在其上运⾏的处理器。系统相似性掩码是⼀个位向量，其中每个位代表 ...

2024年1月14日 — 反沙箱与反调试反沙箱我们要反沙箱，就要思考沙箱和真实物理机的区别，比如说内存大小、用户名、cpu核心数等等，下面会逐个进行介绍。 1.sleep 沙箱在 ...

2013年12月27日 — 可是現在的惡意程式皆具有隱匿特性，甚至會確認所處的環境是否為Sandbox，例如最簡單的方式是詢問該系統版本，或是乾脆不立即動作，讓檢查機制無法察覺。

2024年4月27日 — 笔者学习免杀时遇到了个无法绕过的难题，那就是反沙箱，当我们的样本被上传到在线分析网站，我们的样本将会受到动态和静态的分析，并且运行在一个虚拟化的 ...