16.2. 沙箱¶

16.2.1. 虚拟环境检测¶

16.2.1.1. 检测进程名¶

Vmware
- Vmtoolsd
- Vmwaretrat
- Vmwareuser
- Vmacthlp
VirtualBox
- vboxservice
- vboxtray

16.2.1.2. 检测注册表¶

HKLMSOFTWAREVmware IncVmware Tools
HKEY_CLASSES_ROOTApplicationsVMwareHostOpen.exe
HKEY_LOCAL_MACHINESOFTWAREOracleVirtualBox Guest Additions

16.2.1.3. 硬盘文件检测¶

VMware
- C:windowsSystem32DriversVmmouse.sys
- C:windowsSystem32Driversvmtray.dll
- C:windowsSystem32DriversVMToolsHook.dll
- C:windowsSystem32Driversvmmousever.dll
- C:windowsSystem32Driversvmhgfs.dll
- C:windowsSystem32DriversvmGuestLib.dll
VirtualBox
- C:windowsSystem32DriversVBoxMouse.sys
- C:windowsSystem32DriversVBoxGuest.sys
- C:windowsSystem32DriversVBoxSF.sys
- C:windowsSystem32DriversVBoxVideo.sys
- C:windowsSystem32vboxdisp.dll
- C:windowsSystem32vboxhook.dll
- C:windowsSystem32vboxoglerrorspu.dll
- C:windowsSystem32vboxoglpassthroughspu.dll
- C:windowsSystem32vboxservice.exe
- C:windowsSystem32vboxtray.exe
- C:windowsSystem32VBoxControl.exe

16.2.1.4. 运行服务检测¶

VMTools
Vmrawdsk
Vmusbmouse
Vmvss
Vmscsi
Vmxnet
vmx_svga
Vmware Tools

16.2.1.5. mac地址前缀¶

00:05:69 (Vmware)
00:0C:29 (Vmware)
00:1C:14 (Vmware)
00:50:56 (Vmware)
08:00:27 (VirtualBox)

16.2.1.6. 硬件¶

CPU核心数
CPU温度
CPUID指令
MAC地址
内存大小
磁盘大小
注册表和文件路径
主板序列号 / 主机型号

16.2.1.7. 文件系统¶

TEMP目录下的文件数量
最近打开的文件

16.2.1.8. 虚拟指令¶

特定指令

16.2.2. 沙箱环境检测¶

延迟运行
- 自动化沙箱运行时间较短，可延迟一段时间后再运行
检测开机时间
- 许多沙箱检测完毕后会重置系统，开机时间很短
检测配置
- 沙箱环境的配置大多不高
检测进程 / 服务
代码运行时间

16.2.3. 参考链接¶