updated @ 2014-2-3

沙箱逃避技术,就是恶意代码想方设法逃避沙箱技术的检测的技术。目前,业界也将采用这种技术的***行为称作“沙箱感知的***”,或者“沙箱感知恶意代码”,即Sandbox-aware Attack , Sandbox-aware Malware。随着诸如FireEye这类公司的兴起,沙箱逃避技术的研究越来越多。

之前在《新型威胁分析与防范研究》中有介绍。这里在记录点滴。

1)有的恶意代码只有在用户鼠标移动的时候才会被执行,从而使得很多自动化执行的沙箱没法检测到可疑行为。

2)有的恶意代码会在植入后暂时停止运行或者删除自己,直到用户重启系统后开始工作。这样,沙箱就麻烦了。

3)恶意代码做成多个,互相协作来完成特定的工作。这对沙箱也是一个挑战。因为有的沙箱一次就加载一个可疑代码进行行为检测。


对抗不断升级,沙箱技术的有效性也不断面临***们的智慧挑战。