virustotal 这样的服务是怎么跳过恶意程序里的长 sleep 执行恶意代码用于检测的?

2022 年 12 月 22 日
 edis0n0

随便写了个样本测试这个服务,会在 1 小时 sleep 后收集一部分客户端信息 post 给我,结果真收到了 post

3309 次点击
所在节点    信息安全
7 条回复
qwqdanchun
2022 年 12 月 22 日
行为是用的沙箱模拟,沙箱相当于自己实现了大部分常见 api 去模拟执行,只需要在 sleep 等函数的实现上只记录不实际执行就可以了
v2byy
2022 年 12 月 22 日
hook ,sleep 加速
rootkitjump
2022 年 12 月 22 日
hook 常见的一些 sleep 函数
Greenm
2022 年 12 月 22 日
这些常见的系统调用都 hook 掉了,比如还有监测虚拟机进程的,监测硬盘大小,鼠标移动轨迹等等调用。

当然早期它没做得这么完善,攻防对抗都是螺旋上升的。
NoAnyLove
2022 年 12 月 22 日
VirusTotal 有沙箱功能吗?
hcocoa
2022 年 12 月 22 日
能不能通过对比系统时间变化来判断 sleep 被加速了?
disk
2022 年 12 月 22 日
@hcocoa 不一定可以,有些分析引擎具有类似符号执行的能力,能够遍历可能分支,这种判断可能会被过掉

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://study.congcong.us/t/904029

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX