随便写了个样本测试这个服务,会在 1 小时 sleep 后收集一部分客户端信息 post 给我,结果真收到了 post
This topic created in 1272 days ago, the information mentioned may be changed or developed.
7 replies • 2022-12-22 16:11:15 +08:00
1
qwqdanchun Dec 22, 2022 行为是用的沙箱模拟,沙箱相当于自己实现了大部分常见 api 去模拟执行,只需要在 sleep 等函数的实现上只记录不实际执行就可以了
|
2
v2byy Dec 22, 2022 via iPhone
hook ,sleep 加速
|
3
rootkitjump Dec 22, 2022
hook 常见的一些 sleep 函数
|
4
Greenm Dec 22, 2022
这些常见的系统调用都 hook 掉了,比如还有监测虚拟机进程的,监测硬盘大小,鼠标移动轨迹等等调用。
当然早期它没做得这么完善,攻防对抗都是螺旋上升的。 |
5
NoAnyLove Dec 22, 2022
VirusTotal 有沙箱功能吗?
|
6
hcocoa Dec 22, 2022
能不能通过对比系统时间变化来判断 sleep 被加速了?
|