阿摩線上測驗
29. 為了躲避安全研究人員的分析與惡意軟體偵測機制,某些惡 意程式會嘗試偵測自己是否執行於沙盒環境(Sandbox)內, 並在偵測到時隱藏或延遲執行惡意行為。下列何種方法「不」 是惡意程式常見的沙盒偵測技術?
(A) 檢查系統運行時間是否極短,以判斷是否為剛啟動的虛擬環境
(B) 嘗試存取特定的虛擬機或沙箱環境特徵,如硬體資訊
(C) 檢查是否有鍵盤或滑鼠輸入活動,以確認系統是否由真人操作
(D) 自動將自身程式碼重新加密以防止靜態分析
答案:登入後查看
統計: A(42), B(42), C(121), D(250), E(0) #3441074
統計: A(42), B(42), C(121), D(250), E(0) #3441074
詳解 (共 4 筆)
JL
#7330347
為什麼 (D) 不是「沙盒偵測」技術?
-
定義釐清:(D) 所描述的技術稱為 「混淆 (Obfuscation)」 或 「加殼 (Packing)」。
-
邏輯原理:這類技術的目的是對抗靜態分析(不執行程式,直接看程式碼)。它的運作不需要「偵測環境」,不論是在實體機還是沙盒,它都會保持加密狀態。
-
關鍵差異:沙盒偵測屬於 「動態對抗」,是程式在「執行中」主動去「看」環境;而加密是程式本身的「偽裝層」。
常見的沙盒偵測技術(選項 A、B、C 原理解析)
惡意程式會尋找沙盒與真人的**「行為偏差」**:
-
(A) 檢查系統運行時間 (Uptime):
-
原理:沙盒環境通常是為了分析而「剛啟動」的虛擬機。如果 Uptime 只有幾分鐘,惡意程式會懷疑這是分析環境而拒絕執行。
-
-
(B) 檢查環境特徵 (Artifacts):
-
原理:檢查是否有虛擬機特有的驅動程式(如 VBoxGuestAdditions)、特定的 MAC 位址前綴(如 VMware 的 00:05:69),或過小的硬碟空間與記憶體。
-
-
(C) 檢查真人操作 (Human Interaction):
-
原理:沙盒通常是自動化運行的。惡意程式會檢查是否有滑鼠移動軌跡、點擊行為或鍵盤輸入。如果系統完全「靜止」,則判定為非真人使用的分析環境。
-
1
0