我构建了一个恶意软件分析测试实验室,我使用Pafish来检测分析环境,我想修补一些错误。如何隐藏恶意软件VM检测的注册表项和进程?
答案 0 :(得分:0)
在Windows中,操作系统允许程序拦截对操作系统功能的调用(这些称为“挂钩”)有很多点。例如,程序可以“挂钩”对返回目录中条目的文件系统函数的调用。通常,程序挂钩函数来监视和测量性能,或者可能添加额外级别的验证。
rootkit或 SANDBOX 可以使用钩子来检查函数返回的每个值,并跳过代表rootkit一部分的任何值。对于目录枚举器,当要返回的下一个文件是rootkit的一部分时,它将被跳过 - 文件变为“不可见”。
类似地,返回注册表值的函数上的钩子可以隐藏您不希望沙盒应用程序检查的注册表项。