系统检查

对手可能会进行各种系统检查，以检测和避免虚拟化和分析环境。这可能包括根据检查虚拟机环境（VME）或沙箱指示的工件的结果更改行为。如果对手检测到VME，他们可能会更改其恶意软件以脱离受害者或隐藏植入物的核心功能。他们还可能在投放二级或额外有效负载之前搜索VME工件。对手可能会利用从虚拟化/沙箱规避中学到的信息，在自动发现期间塑造后续行为。(引用: Deloitte Environment Awareness) 具体检查将根据目标和/或对手而有所不同，但可能涉及使用Windows管理规范、PowerShell、系统信息发现和查询注册表等行为来获取系统信息并搜索VME工件。对手可能会在内存、进程、文件系统、硬件和/或注册表中搜索VME工件。对手可能会使用脚本将这些检查自动化到一个脚本中，然后如果确定系统是虚拟环境，则让程序退出。 检查可能包括通用系统属性，例如主机/域名和网络流量样本。对手还可能检查网络适配器地址、CPU核心数和可用内存/驱动器大小。一旦执行，恶意软件还可能使用文件和目录发现来检查它是否保存在具有意外或甚至与分析相关的命名工件（例如malware、sample或hash）的文件夹或文件中。 其他常见检查可能枚举这些应用程序独有的运行服务、系统上安装的程序、虚拟机应用程序的制造商/产品字段字符串以及VME特定的硬件/处理器指令。(引用: McAfee Virtual Jan 2017) 在VMWare等应用程序中，对手还可以使用特殊的I/O端口发送命令并接收输出。 硬件检查，例如风扇、温度和音频设备的存在，也可以用来收集可能表明虚拟环境的证据。对手还可能查询这些设备的特定读数。(引用: Unit 42 OilRig Sept 2018)