基于用户活动的检查

对手可能会采用各种用户活动检查来检测和规避虚拟化和分析环境。这可能包括根据检查是否存在虚拟机环境 (VME) 或沙箱的工件的结果更改行为。如果对手检测到 VME，他们可能会更改其恶意软件以脱离受害者或隐藏植入物的核心功能。他们还可能在投放二级或其他有效负载之前搜索 VME 工件。对手可能会在自动化发现期间使用从 虚拟化/沙箱规避 中学到的信息来塑造后续行为。(引用: Deloitte Environment Awareness) 对手可能会根据鼠标移动和点击的速度/频率（引用: Sans Virtual Jan 2016）、浏览器历史记录、缓存、书签或常见目录（如主目录或桌面）中的文件数量来搜索主机上的用户活动。其他方法可能依赖于在恶意代码激活之前与系统的特定用户交互，例如等待文档关闭后激活宏（引用: Unit 42 Sofacy Nov 2018）或等待用户双击嵌入的图像以激活。(引用: FireEye FIN7 April 2017)