detección de caja de arena de malware

Comience con esta guía, enlace : está increíblemente actualizada en términos de hacer que una VM invitada de VirtualBox tenga más difícil de detectar, incluidas las técnicas válidas en 2017. Esto hará que sus iniciativas y objetivos de análisis de malware automatizado sean más fáciles de lograr.

Considere rastrear y depurar fuera de la máquina virtual invitada usando VirtualKD, como se ve en los tres libros 1) Windows Malware Analysis Essentials, 2) Gray Hat Hacking 4ta edición, y 3) Práctica ingeniería inversa. Puede sincronizar las vistas entre Windbg y IDA Pro utilizando qb-sync.

Prefiero VirtualKD a otras técnicas de depuración de usuarios como Scylla, HideToolz , HideCon, et al. Estos no son tan buenos porque vencer la detección de VM es bastante difícil. Derrotar la anti-depuración y el mal comportamiento asociado solo requiere demasiado trabajo en el mundo del usuario.

Pafish, como sems tool , también está un poco anticuado. Le sugiero que utilice - enlace - para poner a prueba su análisis automatizado de malware con cajas de arena como las máquinas virtuales invitadas. / p>

Hay información adicional sobre la detección de máquinas virtuales en estos blogs:

• enlace
• enlace

Dirija las preguntas sobre análisis binario e ingeniería inversa a enlace especialmente si está empezando, ya que ya hay una gran cantidad de información relevante. el conocimiento que se ha compartido allí es frecuentado por profesionales de ingeniería inversa y analistas de malware.

Posiblemente relevantes Q & amp A:

Lo primero y más importante: Cómo ¿Puedo analizar un binario potencialmente dañino de forma segura?

Si desea analizar dinámicamente los binarios de PE que emplean técnicas de análisis, ScyllaHide , Immunity Debugger y Cheat Engine pueden ser útiles. Ver

• Pasando un todo muchas medidas anti-depuración para un exe de windows
• Están ahí ¿Algún complemento OllyDbg anti-debug / anti-anti-debug funciona con Windows 7 / NT 6.x?

para más información.

Según el artículo A Look en Malware con detección de máquina virtual , dependiendo de los métodos empleados para detectar si el programa se está ejecutando en una máquina virtual, puede ser sencillo parchear el binario de manera que esos métodos no se ejecuten.

Un documento de 2006 por Ed Skoudis mencionado en el artículo anterior llamado En la vanguardia: frustrando la detección de máquinas virtuales También puede darte algunas ideas.

Las técnicas de detección de VM empleadas por el binario también pueden depender de cuándo se escribió: según el artículo de Symantec 2014 ¿El malware sigue detectando máquinas virtuales? ,

  

La mayoría de las muestras utilizan un empaquetador de tiempo de ejecución con detección de VM integrada. En general, esto significa que el empaquetador o crypter realizará las detecciones, no la muestra en sí. Los autores de malware se han dado cuenta de que es sospechoso cuando una aplicación detecta que se está ejecutando en una máquina virtual, por lo que han dejado de usar esas funciones en los últimos años.

Si este es el caso de algunos de los binarios que desea analizar, estos pueden contener información útil:

• Desempaquetando binarios de forma genérica
• Desempaquetando el binario estáticamente

Además de los métodos tradicionales, existen marcos de instrumentación binarios como angr y valgrind que realizan un análisis dinámico sin ejecutar el código objeto original del binario.

Si nada de esto le resulta útil, haga una nueva pregunta en enlace .