我之前使用Cuckoo Sandbox分析了恶意软件,但是,我发现某些恶意软件无法运行,因为它们检测到它们实际上是在虚拟环境中运行的(它们实施了一些反虚拟化技术)。因此,我当时想的是在真实环境中运行恶意软件,然后使用系统的干净副本回滚到干净状态。我只想检查以下内容:


这是分析实施反虚拟化技术的恶意软件的正确方法,还是通常采用其他方法?
是否存在被恶意软件分析仪广泛使用的特定程序,以保留干净系统状态的副本并重新安装? (我仅对Windows恶意软件感兴趣)


#1 楼


是的,这是一种常用的方法。
Faronics Deep Freeze是一款有趣的软件,可以在重新启动时清除更改,但它本身会受到检测。 Clonezilla是一个很好的映像工具,使用起来非常简单。我所见过的最好的设置是使用Intel AMT从RAM引导映像,这使映像处理速度更快。


#2 楼

对于提问者#2,答案是完整的,但是让我们更深入地了解#1。沙盒规避技术。但是,该恶意软件是否还包括环保密钥检测或规避技术,例如此处概述的技术-https://www.vmray.com/blog/sandbox-evasion-techniques-part-4/-可识别恶意软件,又对环境敏感)?去做这个)。如果针对Cuckoo的内置隐蔽解决方案vmcloak可以阻止恶意软件检测或逃避它,那么您仍然可以获得Cuckoo的所有优势。静态分析,甚至在简单的Yara分类中也是如此。还有一些执行Yara分类的高级方法可以捕获行为中的恶意进程,例如Godaddy的procfilter-https://github.com/godaddy/yara-rules/blob/master/features/virtualbox_detection.yara />
如果您使用动态分析来得出沙盒检测,逃避或上下文感知的恶意软件技术,请务必了解您的限制。 makin是确定这些反调试功能的良好入门框架。

这很大程度上取决于您对恶意软件的目标。您想了解什么?你有什么问题?您是否需要提取仅供内部黑名单使用的主动型威胁指示器,还是要共享它们?您是否需要取消配置在网络中的系统上运行的RAT?例如,专注于民族国家RAT可能需要跳至-https://github.com/ctxis/CAPE-工具或类似工具。

如果您想要一个简单的解决方案来扩展具有超越vmcloak的隐身功能的基于沙箱的自动化功能,请查看-drakvuf.com

我肯定对更多裸机技术(特别是AMT)感兴趣RAM克隆器!)@ ekse在主要答案中谈到。这些也是非常宝贵的!但是,仅仅因为您拥有裸机,并不意味着上下文感知的恶意软件技术(例如定时炸弹,逻辑炸弹和专门针对性的恶意逻辑)将不会成为额外的问题-您必须解决它们!

评论


您已经详细了解了我想知道的内容,谢谢!

– Ophilia
18年1月19日在10:50