点击蓝字 关注我们
免责声明
本文发布的工具和脚本,仅用作测试和学习研究,禁止用于商业用途,不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断。
如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权利,则应及时通知并提供身份证明,所有权证明,我们将在收到认证文件后删除相关内容。
文中所涉及的技术、思路及工具等相关知识仅供安全为目的的学习使用,任何人不得将其应用于非法用途及盈利等目的,间接使用文章中的任何工具、思路及技术,我方对于由此引起的法律后果概不负责。
添加星标不迷路
由于公众号推送规则改变,微信头条公众号信息会被折叠,为了避免错过公众号推送,请大家动动手指设置“星标”,设置之后就可以和从前一样收到推送啦
关于
一款完全被动监听的谷歌插件,用于高危指纹识别、蜜罐特征告警和拦截、机器特征对抗
关于
用于沙箱检测的小型可移植Windows C库
用于沙箱检测的小型可移植Windows C库
描述
detenv是为Windows系统设计的小型可移植库,纯粹用C编写,它检查可执行文件运行的环境是否是虚拟机。它完全依赖于Win32 API的所有系统交互和功能。
注意事项:截至2023年10月2日,virustotal.com中的72家安全供应商中有9家将其标记为恶意。这是合乎逻辑的,因为所使用的技术和Win32 API调用被现实世界的恶意软件严重滥用。detenv是为VM检测而创建的,而不是AV规避。
免责声明:
本软件仅用于教育目的。它旨在展示与计算机安全相关的概念和技术,不应用于任何恶意行为或非法活动。
如何使用
在Visual Studio项目中:
-
添加detenv. h头文件
-
添加detenv. c源文件
-
包含“detenv. h”并调用detenv_all_checks()函数以调用所有环境检查
eg
#include "detenv.h"
int main() {
if (detenv_all_checks()) {
printf("All checks passed successfullyn");
}
else {
printf("Failed to pass all checksn");
}
return 0;
}
要禁用详细消息,请注释掉detenv. c文件的第4行。
旧例
-
反逆向工程:防止软件在虚拟机中被逆向工程。
-
恶意软件分析:识别恶意软件试图逃避虚拟机检测的可疑行为。
关键特征
detenv执行以下检查:
-
通用检查
- 检查用户名是否特定于虚拟机
- 检查主机名是否特定于VM
- 检查总RAM是否低于4 GB
- 检查处理器数量是否小于2
- 检查是否有监视器
- 检查系统故障是否小于5分钟
- 检查硬盘驱动器大小是否小于250 GB
- 检查是否有任何音频设备
- 检查鼠标是否存在
- 检查是否跳过睡眠功能
-
网络检查
- 检查互联网连接
- 检查特定MAC地址
- 检查特定网络共享
-
文件系统检查
- 检查特定文件
- 检查特定目录
- 检查可执行文件路径中的特定字符串
-
注册表检查
- 检查特定的注册表路径
-
过程检查
- 检查特定的运行进程
项目地址
https://github.com/kargisimos/detenv欢迎关注SecHub网络安全社区,SecHub网络安全社区目前邀请式注册,邀请码获取见公众号菜单【邀请码】
联系方式
电话|010-86460828
官网|http://www.secevery.com
关注我们
公众号:sechub安全
哔哩号:SecHub官方账号
原文始发于微信公众号(SecHub网络安全社区):用于检测沙箱的Windows小程序
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论