THOUGHTS
袁师兄对标的是FireEye和Lastline。
首先是沙箱逃逸技术的介绍,主要参考LASTLINE,CISCO的REPORT2018.
然后是反沙箱对抗技术,环境、多路径,拖延代码。
修改环境、提升透明度主要是对系统的优化,偏向于工程,研究点不多。
lastlinestalling在2011年,lastline两位创始人发表的论文中提出了解决方案,之后他们根据论文成立了lastline,现在的分析系统也是基于论文中的hasten原型系统。这一点已经研究很透彻了。
相反,多路径探索自从提出之后,一直作为有潜力的反沙箱对抗技术,近年来多在web和安卓领域有所发展,PC端的研究肯定也在进行,但是应该是在网络安全公司内部进行。
lastline还的确有用这一思路,调研一下
Driller,angr都有LASTLINE的研究人员参与。
LASTLINE使用的是SP07论文里面多路径探索的思路,论文的合作者是LASTLINE的联合创始人。LASTLINE将逃逸技术分为两大块,一类基于环境(Trigger),一类基于时间(Stalling)。Trigger由多路径解决,Stalling由HASTEN系统解决。
在Lastline,基于Moser等人的概念性工作和一个完全重新实现的原型系统,我们使用解决方案来解决测试覆盖问题,并允许自动恶意软件分析系统生成更全面的报告。
现在的两个思路,一个是提供用作Trigger的API,一个是搜集恶意API;
目前采用第一个思路吧,毕竟对标LASTLINE。