updated @ 2014-2-3沙箱逃避技术,就是恶意代码想方设法逃避沙箱技术的检测的技术。目前,业界也将采用这种技术的***行为称作“沙箱感知的***”,或者“沙箱感知恶意代码”,即Sandbo
.
updated @ 2014-2-3
沙箱逃避技术,就是恶意代码想方设法逃避沙箱技术的检测的技术。目前,业界也将采用这种技术的***行为称作“沙箱感知的***”,或者“沙箱感知恶意代码”,即Sandbox-aware Attack , Sandbox-aware Malware。随着诸如FireEye这类公司的兴起,沙箱逃避技术的研究越来越多。
之前在《新型威胁分析与防范研究》中有介绍。这里在记录点滴。
1)有的恶意代码只有在用户鼠标移动的时候才会被执行,从而使得很多自动化执行的沙箱没法检测到可疑行为。
2)有的恶意代码会在植入后暂时停止运行或者删除自己,直到用户重启系统后开始工作。这样,沙箱就麻烦了。
3)恶意代码做成多个,互相协作来完成特定的工作。这对沙箱也是一个挑战。因为有的沙箱一次就加载一个可疑代码进行行为检测。
对抗不断升级,沙箱技术的有效性也不断面临***们的智慧挑战。
