沙盒环境信息收集
目的
收集沙盒的环境
看图说话
从上面的图就能看出来很多特征:
- 比如中国的时区是-8,沙盒多不是,当然某步除外
- 第三条是某步的沙盒,进程里面存在
AcrylicService.exe,实际使用的时候可以做一次for循环hash判断,避免程序中直接出现关键词 - 大部分沙盒会重新二次修改为随机文件名,也可以从这个点下手
- 内存一般小于4G
- 部分虚拟机存在Cucoo的特征,比如某步,具体可以看CheckPointSW/InviZzzible
- 也可以用主机名作为判断条件
收集沙盒的环境
从上面的图就能看出来很多特征:
AcrylicService.exe,实际使用的时候可以做一次for循环hash判断,避免程序中直接出现关键词