楼主: B100D1E55
收起左侧

[分享] 自动分析沙箱逃逸技巧

  [复制链接]
应陶剑
发表于 2017-3-24 22:22:10 | 显示全部楼层
可以学习下   
欧阳宣
头像被屏蔽
发表于 2017-3-25 01:28:05 | 显示全部楼层
最近火热的“容器”概念不知道是不是属于这类虚拟化环境

不然还是仿的,就总有和正式系统不一样的地方
FUZE
发表于 2017-3-25 03:00:10 | 显示全部楼层
靴习一个,其实有矛就有盾,百密总有一疏。我记得原来有个病毒是检测用户打开过10个以上的文档才会发作...搞得分析人员一脸懵逼。
B100D1E55
 楼主| 发表于 2017-3-25 03:39:09 | 显示全部楼层
欧阳宣 发表于 2017-3-25 01:28
最近火热的“容器”概念不知道是不是属于这类虚拟化环境

不然还是仿的,就总有和正式系统不一样的地方

docker之类的算,但属于轻量级虚拟,个人感觉不适合病毒分析。病毒分析需要强隔离,就算是虚拟机级别的隔离都有可能通过处理器共享缓存等实现旁路攻击
B100D1E55
 楼主| 发表于 2017-3-25 03:50:13 | 显示全部楼层
FUZE 发表于 2017-3-25 03:00
靴习一个,其实有矛就有盾,百密总有一疏。我记得原来有个病毒是检测用户打开过10个以上的文档才会发 ...

大概深入底层逆向才比较彻底,不过太耗时耗力。我还记得之前看到别人搞的Swizzor混淆壳的逆向树

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
FUZE
发表于 2017-3-25 04:01:12 | 显示全部楼层
B100D1E55 发表于 2017-3-25 03:50
大概深入底层逆向才比较彻底,不过太耗时耗力。我还记得之前看到别人搞的Swizzor混淆壳的逆向树

666
axeaaa
发表于 2017-3-25 12:16:15 | 显示全部楼层
学习一下~
adminh
发表于 2017-3-25 21:36:38 | 显示全部楼层
瞻仰一下
ww1208638621
发表于 2017-3-25 22:02:47 | 显示全部楼层
沙盘,虚拟机,影子系统该怎么权衡呢
B100D1E55
 楼主| 发表于 2017-3-26 12:35:03 | 显示全部楼层
ww1208638621 发表于 2017-3-25 22:02
沙盘,虚拟机,影子系统该怎么权衡呢

取决于计算资源的多少和对易用性的需求。如果电脑资源多到可以跑虚拟机而不影响正常使用,闲到可以自己手动分析一下未知文件(或者有自己的沙盘),一般来说虚拟机沙盘自然是最佳选择。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 23:25 , Processed in 0.107119 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表