.NET 样本通过 choice 命令实现沙盒对抗

在.NET 网络安全领域，恶意软件为了躲避沙盒等分析环境的检测，会采用各种对抗手段。其中，利用 Windows 系统自带的 choice% 命令进行沙盒对抗，是一种巧妙且有效的方式，在诸如 0bj3ctivityStealer 等恶意样本中多有应用。本文将深入剖析其原理与实现，尤其是底层的技术逻辑。

为了提高分析效率，大多数自动化沙盒如 Cuckoo Sandbox 的早期版本会使用虚拟化技术，比如 VirtualBox, VMware的 “时间加速” 功能。当恶意软件调用 Sleep(3000) 时，沙盒可以瞬间完成这 3 秒的等待，从而在几秒钟内模拟数分钟甚至数小时的执行过程。

因此，恶意样本 0bj3ctivityStealer 利用 choice 命令主要达成三个核心目标，引入真实时间延迟：对抗沙盒的 “时间加速” 机制。

实现异步自我销毁：在恶意进程退出后，由系统进程完成对自身文件的删除。利用合法系统工具：使用 cmd.exe 和 choice.exe 等白名单程序，绕过基于签名或行为的初级检测。

1.1 Choice命令

choice 是 Windows 命令行工具，用于在命令行环境中提供交互式选择功能。其基本语法为：

choice /C <选项集> /N /D <默认选项> /T <超时秒数>

比如，choice /C Y /N /D Y /T 3，此参数表示 “3 秒后自动选择 Y”（/T 3 是超时 3 秒，/D Y 是默认选 Y）。

1.2 应用场景

在恶意样本里，choice 常与命令行工具 cmd.exe 及文件删除命令 del 结合，构建 延时自毁 机制，以此对抗沙盒分析。以下是一段相关的 .NET 示例代码：

using System.Diagnostics;using System.Reflection;using System.Threading;classMalware{staticvoidMain()    {// 延迟执行，用于初步筛选环境        Thread.Sleep(InitTasks.get1000());// 获取当前程序自身路径string selfPath = Assembly.GetEntryAssembly().Location;// 构造 cmd 命令，3 秒后自动选择 Y 并删除自身string cmdArgs = Encoding.UTF8.GetString("/C choice /C Y /N /D Y /T 3 & Del "") + selfPath + Encoding.UTF8.GetString(""");// 启动 cmd 执行命令        Process.Start(new ProcessStartInfo        {            Arguments = cmdArgs,            WindowStyle = ProcessWindowStyle.Hidden,            CreateNoWindow = true,            FileName = Encoding.UTF8.GetString("cmd.exe")        });// 立即终止当前程序进程        Environment.Exit(1);    }}

代码中 Thread.Sleep(InitTasks.get1000()) 会让程序暂停一段时间，时长由 InitTasks.get1000() 决定。从底层来看，Thread.Sleep 是通过调用操作系统的线程休眠机制实现的。沙盒或自动化分析环境为提高效率，往往会在虚拟化层或内核层面篡改线程休眠的计时器，加速执行流程，跳过或缩短睡眠时长。

这种延迟可作为环境检测手段，其底层检测逻辑基于对 虚拟时间 和 真实时间差异的感知。恶意程序通过测量 Thread.Sleep 前后的系统时间戳，比如使用高精度计时器 QueryPerformanceCounter，若发现实际经过的时间远小于预期的休眠时长，就能识别出 “非真实用户环境”，进而采取后续对抗措施。

Process.Start 启动 cmd.exe 并执行的命令 choice /C Y /N /D Y /T 3 & Del "<程序自身路径>" 是核心逻辑，其底层涉及进程创建、命令执行与文件系统操作等多个层面。

2.1 Choice延迟的原理

choice 工具的延迟是通过 Windows 系统的定时器机制实现的。它会在内核中请求一个真实的定时器资源，实际消耗物理时间。与 Thread.Sleep 相比，沙盒在虚拟化层或内核层篡改 choice 命令的定时器要复杂得多，因为 choice 是一个独立的系统进程，其定时器的运行依赖于系统的正常时间调度。

这 3 秒的延迟，一方面给恶意程序在真实环境中完成部分恶意行为（如数据窃取、持久化等）留出时间；另一方面，在沙盒环境中，若分析系统因加速执行而使这 3 秒延迟异常（如被跳过或时长极短），会导致后续删除逻辑的触发时机异常，从而暴露沙盒特征。

2.2 Del命令原理

& Del "<程序自身路径>" 中，& 是命令连接符，当前面的 choice 命令执行完毕后，会触发 Del 命令。Del 命令的执行依赖于 Windows 文件系统的操作，当恶意程序进程运行时，操作系统会对其可执行文件加锁，防止被意外删除。

而当恶意程序通过 Environment.Exit(1) 终止自身后，系统对该文件的锁定会被释放，Del 命令就能顺利调用文件系统相关 API（如 NtDeleteFile）来删除文件。

2.3 痕迹清除

启动删除命令后，Environment.Exit(1) 会立即终止当前程序进程。从底层来看，Environment.Exit 会调用 Windows 的进程终止机制，向系统内核发送进程退出的信号，内核会清理该进程的资源，包括释放对程序文件的锁定。这样做，一来能让恶意程序在沙盒完成全面分析前就自我销毁，增加逆向分析难度；二来，程序进程终止后，系统对程序文件的锁定会被释放，后续的 Del 命令能更顺利地通过文件系统 API 删除文件，清除恶意程序存在的痕迹。

综上，choice 命令本身是 Windows 系统的合法工具，但在恶意样本中，被巧妙地用于构建延迟执行、异步自毁等沙盒对抗机制。其底层涉及线程休眠、进程创建、定时器调度、文件系统操作等多个系统层面的技术。它结合了系统工具的隐蔽性与时间延迟的反分析特性，成为恶意软件逃避检测的有效手段。安全研究者和沙盒设计者需从系统底层入手，针对性地采取监控、拦截等措施，才能有效应对这类恶意样本的挑战。

免责声明：此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等进行检测或维护参考，未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。任何未经授权的网络渗透、入侵或对他人网络破坏的活动而造成的直接或间接后果和损失，均由使用者为自身的行为负责并承担全部的法律和连带责任，与本号及作者无关，请务必遵循相关法律法规。本文所提供的工具仅用于学习和本地安全研究和测试，禁止用于其他方面。

沙盒等分析环境应记录所有 cmd.exe 的调用及参数，含 choice 和 del 组合的命令，以此及时发现恶意的自毁企图。

监控命令行活动沙盒等分析环境应记录所有 cmd.exe 的调用及参数，含 choice 和 del 组合的命令，以此及时发现恶意的自毁企图。可通过挂钩 CreateProcess 等进程创建相关 API，实时监控命令行参数。

时间异常检测检测进程中异常的 Sleep 或延时行为，尤其是与文件删除操作结合的情况。可利用高精度计时器监控时间流逝，若发现时间不符合正常逻辑，需警惕沙盒对抗行为。

文件删除拦截在分析环境中，可通过拦截 NtDeleteFile 等文件删除相关的 API，防止恶意样本自毁，以便留存样本进行深入分析。例如，使用 API 挂钩工具对文件删除 API 进行拦截和监控。

动态行为分析

使用 Frida、x64dbg 等动态追踪工具或 API 钩子技术，Process.Start 等进程启动调用，提前发现并阻止恶意命令的执行。通过动态插桩技术，可在恶意命令执行前进行检测和拦截。

以上相关的知识点已收录于新书《.NET安全攻防指南》，全书共计25章，总计1010页，分为上下册，横跨.NET Web代码审计与红队渗透两大领域。

上册深入剖析.NET Web安全审计的核心技术，帮助读者掌握漏洞发现与修复的精髓；下册则聚焦于.NET逆向工程与攻防对抗的实战技巧，揭秘最新的对抗策略与技术方法。

一个不错的安全学习社区，必须要解决的核心问题之一就是：如何把零散的知识点组织成体系，帮助学习者形成由浅入深、由点到面的认知路径。dot.Net 安全矩阵知识星球在这方面进行了精心的设计，通过 [ 点、线、面、体]的四层结构，将复杂的技术知识以系统化的方式呈现。

点的层面

在点的层面，每一个具体的漏洞、原理、方法论都是一个独立的知识单元。比如，一篇关于 WCF 配置漏洞的研究文章，就是一个“点”。这些点看似独立，但积累多了之后，容易让人觉得零散。于是，社区进一步将它们串联成“线”。

所谓的线

所谓“线”，就是将多个知识点结合起来，形成一条技术路径。比如从发现某个反序列化漏洞，到构建利用链，再到实现远程命令执行，最后结合权限提升与持久化的步骤，这就是一条完整的攻防路径。这类“线”让学习者理解到知识点之间的联系，而不是停留在碎片化的层面。

延伸到面

当多条技术路径相互汇聚，就形成了“面”。例如内网攻防专题，就是由无数漏洞点与利用线构成的知识面。从横向上覆盖了扫描、横向移动、凭据窃取等环节，从纵向上深入到权限维持和数据外泄。通过“面”的方式，学习者可以对某一领域形成全面的掌握，而不是停留在片面的理解。

拓展至体

在当下，社群学习平台很多，为什么 dot.Net 安全矩阵知识星球能够脱颖而出，成为国内最活跃的 .NET 安全社区？这要归功于独特的特色与优势。

首先是嘉宾阵容的强大，社区内的嘉宾大多是活跃在一线的安全研究员、红队专家、企业安全负责人。他们不仅有着丰富的实战经验，还乐于分享自己在攻防过程中的思考。这种专家与学习者之间的交流，不仅缩短了学习曲线，还让成员能够接触到真正的前沿信息。

其次是内容的高质量与高浓度。与一些泛技术群不同，这里没有大量的闲聊和噪音。每一个主题、每一次精华整理，都是针对性极强的知识分享。社区内沉淀下来的 630+ 精华主题和 800+ 文档资料，本身就是一座宝库。对于新成员而言，仅仅是浏览这些资料，就已经能够收获巨大的知识增量。

第三，学习形式的多样化。社区不仅仅依赖文字资料，还提供视频课程、实战演示等多种学习方式。比如在讲解反序列化利用时，不只是单纯的代码展示，还会结合视频进行动态演示，让学习者更直观地理解漏洞利用的过程。这种多形式的学习体验，大大提升了内容的可接受性与趣味性。

再者，社区始终保持着实用性与前沿性兼顾的原则。一方面，解决的是成员在日常工作与研究中切实遇到的问题，具有极强的实战导向；另一方面，也会关注最新的漏洞通报、研究趋势，帮助成员站在更高的视角去理解攻防演变。

最后，不容忽视的是社区的文化氛围。这里并不是单向灌输的课堂，而是一个强调互动与共享的空间。无论是初学者还是专家，都可以在这里畅所欲言。社区鼓励提问，也鼓励分享，逐渐形成了“学习-分享-再学习”的良性循环。正是这种氛围，让越来越多的成员在这里找到了归属感。

dot.Net 安全矩阵知识星球的定位非常清晰：既服务于专业人士，也兼顾.NET 入门学习者，覆盖了从初学到进阶的整个成长路径。

安全研究者

对于安全研究员而言，这里是一个前沿信息的聚集地。无论是最新的漏洞利用思路，还是深度的防御方案，都可以在社区中找到。而且通过与其他研究员的交流，他们能够快速验证自己的思路，甚至碰撞出新的研究方向。

渗透工程师

对于渗透测试工程师，这里是一个实战经验的宝库。很多内网渗透、持久化、横向移动的案例，都是可以直接复用到项目中的。通过学习这些案例，工程师不仅能够提升效率，还能更好地应对复杂的测试环境。

研发工程师

对于开发工程师而言，加入社区的价值则在于知己知彼。了解常见的漏洞原理与攻击方式，有助于他们在编码阶段就避免这些问题，提升应用程序的安全性。很多开发者反馈，社区的学习让他们第一次真正理解了安全测试人员是如何思考的，从而在代码层面进行了针对性的优化。

运维管理者

运维与安全管理人员也同样受益。对于他们而言，最重要的是能够快速发现并修复风险。社区提供的工具与脚本，往往能在第一时间帮助他们定位问题，节省了大量排查时间。

在校生和爱好者

即使是完全的初学者，也无需担心。社区的体系化设计确保了入门者能够从最基础的概念开始学习，不会被一上来就抛出的高深内容劝退。而且社区文化的包容性，让他们敢于提问，敢于尝试，从而在较短时间内完成从零到一的过渡。因此，不论是专家还是新手，不论是专注于研究还是实际运维，dot.Net 安全矩阵知识星球都能为其提供对应的价值。

加入社区的方式非常简单，只需通过扫码知识星球平台即可完成加入。成为正式成员后，不久便可以解锁全部的主题、精华、文档与视频等资源。同时，还可以进入专属的微信群，与其他成员进行更紧密的交流。

微信群不仅仅是一个信息交流的渠道，更是一个陪伴式的学习环境。很多成员每天都会在群里分享自己的问题与经验，这种互动让学习不再是孤单的过程。初学者能够从前辈的经验中获得启发，嘉宾则能够通过解答问题来加深自己的理解。久而久之，群体之间形成了深厚的学习氛围，彼此陪伴成长。

更重要的是，社区的长期陪伴属性。与市面上一些一次性课程不同，这里强调的是持续成长。加入的不仅仅是一个知识库，更是一个动态发展的生态。随着时间的推移，社区会不断有新的主题、新的案例出现，而你也将在这个过程中逐渐积累起属于自己的知识体系和圈子。

dot.Net 安全矩阵知识星球不仅仅是一个学习平台，更是一个完整的学习与成长生态。在这里，你能够接触到最前沿的 .NET 安全研究成果，能够解决工作中的实际问题，能够找到职业发展的新机会，还能够在长期的互动中培养自己的独立思考能力。

如果你正在寻找一个既能学习又能成长、既能积累知识又能拓展职业发展的地方，那么加入这个社区无疑是一个明智的选择。不仅能帮助你在短期内获得实用技能，更能在长期中塑造你作为技术人的竞争力与眼界。 [ 星球门票后期价格随着内容和质量的不断沉淀会适当提高，所以越早加入越好]