沙箱 / 模拟器检测
沙箱 / 模拟器检测 是什么?
沙箱 / 模拟器检测恶意软件用于识别自身是否运行在分析沙箱、模拟器或虚拟机中,从而拒绝触发,以规避分析的反分析技术。
沙箱/模拟器检测是一类防御规避(defense-evasion)行为,恶意软件借此识别 Cuckoo、Joe Sandbox、ANY.RUN、Hatching Triage、FireEye AX、基于 VMware 的商用沙箱等自动化分析环境,并在被检测到后保持休眠或显示良性行为。常见探测包括 VirtualBox/VMware 的 MAC 地址段、virtio 驱动、Hyper-V 的 CPUID 字符串"Microsoft Hv"、小磁盘或内存、低 CPU 核数、单用户、最近文件不足、加速无移动鼠标、是否存在 Wireshark、x64dbg、OllyDbg 等分析工具,以及基于时间的延迟。MITRE ATT&CK 技术 T1497(Virtualization/Sandbox Evasion)收录了该类别。防御方采用加固沙箱(模拟真实用户活动、随机主机名)、加长引爆窗口以及裸机分析系统应对。
● 示例
- 01
一个 loader 在进程列表里发现 vmware.exe 或检测到 Hyper-V CPUID "Microsoft Hv" 时干净退出。
- 02
勒索软件在执行任何恶意行为前等待 20 分钟,以超出沙箱短运行窗口。
● 常见问题
沙箱 / 模拟器检测 是什么?
恶意软件用于识别自身是否运行在分析沙箱、模拟器或虚拟机中,从而拒绝触发,以规避分析的反分析技术。 它属于网络安全的 防御与运营 分类。
沙箱 / 模拟器检测 是什么意思?
恶意软件用于识别自身是否运行在分析沙箱、模拟器或虚拟机中,从而拒绝触发,以规避分析的反分析技术。
如何防御 沙箱 / 模拟器检测?
针对 沙箱 / 模拟器检测 的防御通常结合技术控制与运营实践,详见上方完整定义。
沙箱 / 模拟器检测 还有哪些其他名称?
常见的别称包括: 反虚拟机, 反沙箱, VM 感知恶意软件。