这个是针对微步和VT的沙箱来进行反沙箱的,主要给出了一些利用代码和总结了当前沙箱的一些特点,有些东西可以直接拿来就用。针对微步和VT的沙箱来进行反沙箱 主要感觉是反虚拟机 钓鱼场景下的反沙箱,主要就是判断有没有安装微信。通过注册表查询或是查询某目录是否存在 反沙箱技术合集 国外APT远控分析-反沙箱部分
我将列出一些UDRL的列表,因此本文的连接为# * 使用了相当多规避技术的UDRLBokuLoader * Havoc上用的反射DLLKaynLdr不知道他的Inject程序能不能过杀软 * Havoc上用的反射DLL,CS上的实现 KaynStrike * 猎鹰一直在用的加载DLL(可能不算是UDRL吧,我也不太清楚)DarkLoadLibrary但这个项目打算这周看一看 * 可能眼前一亮的是上篇文章中提到的,返回地址欺骗,在这个UDRL中实现了AceLdr * TitanLdr
本文章列出了非常多的终端对抗的点,尽管他只是起一个"概述"的作用,但我们可以根据他提供的这些细节点,来为我们的Loader提供更加强大的免杀能力。我这里读到了比较有意思的一个是,规避AES加密产生的导入表问题。这个在我二开的FilessRunPE中产生了这个问题,导入表中的ADVAPI32.dll存在了他列出来的这些API。我需要通过函数指针或是直接/间接系统调用来实现规避,很遗憾,这些东西我仍然需要学习。