Evasion SandBox 库 SLib 使用

地球胖头鱼 2021-03-08
系统与内网安全 发布于 2021-03-08 14:12:46 阅读 322 评论 0

SLib是一个根据 evasions.checkpoint.com/ 来封装的一个C#库。以此来进行沙箱检测。

主要包含下面的检测项:

项目地址为:github.com/Aetsu/SLib 先把项目clone,然后编译出dll,即可作为库使用了。

首先新建一个C#项目,然后导入刚刚的Dll

就可以使用了。下面介绍几个简单的demo,文件系统:

using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.Threading.Tasks;
using SLib;

namespace SandBoxEvasion
{
    class Program
    {
        static void Main(string[] args)
        {
            Filesystem fsCheck = new Filesystem();
            Generic.SandboxRes fsRes1 = fsCheck.checkFiles();
            Console.WriteLine("[+]Is sandbox " + fsRes1.isSandbox.ToString());
            foreach (Generic.SandboxTag tag in fsRes1.tagList) {
                Console.WriteLine("Tag:{0} --> {1}",tag.tag,tag.query);
            }
        }
    }
}

静态编译可以使用Costura.Fody来做,然后微步跑一跑:

注册表方法:

using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.Threading.Tasks;
using SLib;

namespace SandBoxEvasion
{
    class Program
    {
        static void Main(string[] args)
        {
            RegistryQuery rQuery = new RegistryQuery();
            Console.WriteLine("[+] Registry detection methods");
            Generic.SandboxRes rQueryRes1 = rQuery.checkPath();
            Console.WriteLine("     [*] Is sandbox? " + rQueryRes1.isSandbox.ToString());
            foreach (Generic.SandboxTag tag in rQueryRes1.tagList)
            {
                Console.WriteLine("       Tag: {0} -> {1}", tag.tag, tag.query);
            }
        }
    }
}

硬件检测法:

using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.Threading.Tasks;
using SLib;

namespace SandBoxEvasion
{
    class Program
    {
        static void Main(string[] args)
        {
            Hardware hwHelper = new Hardware();
            Generic.SandboxRes hwRes3 = hwHelper.checkAudio();
            Console.WriteLine("   [-] Check if CPU temperature information is available");
            Console.WriteLine("     [*] Is sandbox? " + hwRes3.isSandbox.ToString());
            foreach (Generic.SandboxTag tag in hwRes3.tagList)
            {
                Console.WriteLine("       Tag: {0} -> {1}", tag.tag, tag.query);
            }

        }
    }
}

成功检测到目标为虚拟机

原创:鸿鹄实验室

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!
地球胖头鱼
未填写
  • 作者发布文章252
  • 作者收获粉丝10
  • 作者收到点赞3
  • 所有文章被收藏了5
  • 博客总访问量排行第2
  • 博客总访问量8.7 万(每日更新)
查看所有博文