一次沙箱分析记录

## 1. 计划制定

1.确定信息收集计划

2. 收集信息交付计划

3. 分析

## 2. 如何收集信息

通过编写代码程序，可以实现想要的功能，并在沙箱中执行，并将数据传递出去。

这里，使用在线DNSLOG平台，使用C代码发送http请求。

将程序上传到微步社区沙箱进行测试

dnslog平台也收到对应的号码

可见这个想法是可行的。让我们开始进一步尝试。

然后获取系统信息以及系统中安装了哪些软件

将编译好的程序上传到分析平台进行分析

同样，服务器也收到了响应。您可以看到两个北京IP并收集已安装的应用程序信息。

当然这些信息在分析平台上是可以直接看到的。

我们的目的不是收集这些信息，而主要是寻找系统特征并识别沙箱系统。

一般通过驱动文件、计算机主机名、CPU核心数、进程文件等来检测是否在虚拟机中。

## 3.系统分析

它主要收集沙箱驱动文件、计算机主机名、CPU核心数、进程文件，然后找到特定模式进行识别。

编写脚本获取计算机名称

````

char 计算机名称[MAX_COMPUTERNAME_LENGTH + 1];

DWORD 大小=sizeof(计算机名)/sizeof(计算机名[0]);

if (!GetComputerNameA(计算机名称, 大小)) {

return \'获取计算机名称时出错\';

}

````

获取CPU核心数

````

SYSTEM_INFO 系统信息；

获取系统信息（sysInfo）；

int cores=sysInfo.dwNumberOfProcessors;

````

获取流程文件

````

//创建进程快照

HANDLE hProcessSnap=CreateToolhelp32Snapshot(TH32CS_SNAPPPROCESS, 0);

如果（hProcessSnap==INVALID_HANDLE_VALUE）{

std:cerr \'无法创建进程快照。\' std:endl;

返回L\'\'；

}

PROCESSENTRY32 pe32；

pe32.dwSize=sizeof(PROCESSENTRY32);

//获取第一个进程信息

if (!Process32First(hProcessSnap, pe32)) {

std:cerr \'无法检索进程信息。\' std:endl;

关闭句柄（hProcessSnap）；

返回L\'\'；

}

//稍后遍历该过程。没有直接获取进程的功能，因为获取不完整。

````

本地测试

收货端

获取下面的沙箱进行测试，看看效果。

查看日志可以看到已连接。

主机名、核心数、进程等信息也成功获取。

主机名和CPU核心数没有明显特征。下面我们来详细看看这个过程。

总共有116个进程。删除常用系统进程svchost.exe后，还剩下59个。

````

smss.exe - 会话管理子系统，Windows 的核心进程。

csrss.exe - 客户端/服务器运行时子系统，Windows 的另一个核心进程。

wininit.exe - Windows 启动应用程序。

winlogon.exe - Windows 登录应用程序。

services.exe - 管理系统服务的服务和控制器应用程序。

lsass.exe - 处理安全相关功能的本地安全子系统服务。

fontdrvhost.exe - Windows 字体驱动程序主机，负责管理字体操作。

dwm.exe - 桌面窗口管理器，负责Windows 中的图形效果。

spoolsv.exe - 打印池服务，管理打印任务。

audiodg.exe - 处理音频相关进程的Windows 音频设备图形隔离器。

AcrylicService.exe - 该软件是Windows 的本机DNS 代理。

sihost.exe - 管理Windows 界面的多个图形元素的Shell 基础结构主机。

ctfmon.exe - 监视活动窗口并为语音识别、手写识别、键盘、翻译和其他中文可选用户输入法技术提供文本输入服务支持。

taskhostw.exe - Windows 任务主机，托管后台任务。

explorer.exe - Windows 资源管理器，文件和文件夹管理界面。

ChsIME.exe - 中文输入法编辑器(IME)。

StartMenuExperienceHost.exe - 托管Windows 开始菜单体验。

RuntimeBroker.exe - 处理Windows 应用商店应用程序的应用程序权限和数据访问。

ApplicationFrameHost.exe - 托管通用Windows 平台(UWP) 应用程序。

MicrosoftEdge.exe - Microsoft Edge 网络浏览器。

browser_broker.exe - 处理Microsoft Edge 和Windows 之间的通信的Windows 浏览器代理。

dllhost.exe - COM 代理，在与调用进程不同的进程中托管COM 对象。

Windows.WARP.JITService.exe - 与Windows 运行时即时(JIT) 编译服务相关。

MicrosoftEdgeSH.exe - Microsoft Edge SmartScreen 进程。

MicrosoftEdgeCP.exe - Microsoft Edge 内容进程。

WindowsInternal.ComposableShell.Experiences.TextInput.InputApp.exe - Windows 文本输入应用程序。

WeChat.exe - 微信应用程序。

WmiPrvSE.exe - Windows 管理规范提供程序服务。

SgrmBroker.exe - 系统保护运行时监控代理。

ShellExperienceHost.exe - Windows Shell 体验主机。

unsecapp.exe - WMI 不安全脚本主机。

GoogleUpdateSetup.exe - Google 更新安装程序。

csfalconservice.exe - CrowdStrike 的EDR 产品。

RemindersServer.exe - 与提醒功能相关，可能是特定应用程序的一部分。

GoogleUpdate.exe - Google 更新服务。

CSFalconContainer.exe - CrowdStrike 的EDR 产品。

backgroundTaskHost.exe - 托管通用Windows 平台(UWP) 应用程序的后台任务。

WUDFHost.exe - Windows 驱动程序基础知识- 用户模式驱动程序框架主机进程。

Detonate.exe - 未知。

UnThreat.exe - 与防病毒软件（UnThreat Antivirus）相关。

utsvc.exe - 与防病毒软件（UnThreat Antivirus）相关。

system.exe - 这个程序。

conhost.exe - 控制台窗口主机，管理控制台窗口。

````

删除所有系统进程，保留以下应用程序进程：

````

dVbLgmPuXy.exe - 未知，应该是随机生成的名称。

WeChat.exe - 微信应用程序。

GoogleUpdateSetup.exe - Google 更新安装程序。

csfalconservice.exe - CrowdStrike 的EDR 产品。

GoogleUpdate.exe - Google 更新服务。

CSFalconContainer.exe - CrowdStrike 的EDR 产品。

Detonate.exe - 未知。

UnThreat.exe - 防病毒软件（UnThreat Antivirus）。

utsvc.exe - 防病毒软件(UnThreat Antivirus)，UnThreat 服务管理器的一部分。

````

最特别的是Detonate.exe，网上只找到了两条相关资料。一个是病毒样本，另一个是其他大佬分析微步沙箱时捕获的进程。那么这很可能就是微步沙箱的一个特性。

## 4.常见虚拟机分析

下面主要从驱动文件、计算机主机名、CPU核心数、进程文件等方面来分析常见的虚拟机。常见的虚拟机有VMware、VirtualBox、Hyper-V、Xen、Parallels等，它们都有自己的驱动文件。

例如VMware的文件特征：vm.但宿主机也会有具有这种特征的文件。主机和虚拟机的C:\\Program Files\\Common Files\\VMware目录下都有一些驱动文件。不过文件略有不同，如下，左边是宿主机，右边是虚拟机。

此外，某些同名文件在主机和虚拟机中具有不同的签名。

## 5. 总结

综上所述，每种虚拟化技术的特点都不同。根据单一维度来判断虚拟沙箱是不准确的，需要从多个维度进行综合判断。对于木马程序来说，如果想要绕过沙箱检测，为每个沙箱编写不同的识别码显然是非常繁琐的。

转载自先知社区：https://xz.aliyun.com/t/13256?time__1311=mqmxnDBD9DyDuiD2DBqDuQRfG8bKpWnG%2BDalichlgref=https%3A%2F%2Fxz.aliyun.com%2F

添加一名作者