add malware sandbox evaluation and antivirus detection name dump documentation

JerryLinLinLin · JerryLinLinLin · commit 1a41a8264a95 · 2025-12-19T13:10:56.000-06:00
diff --git a/_posts/2020-05-13-malware-sandbox-evaluation-zh-cn.md b/_posts/2020-05-13-malware-sandbox-evaluation-zh-cn.md
@@ -0,0 +1,104 @@
+---
+title: "Anti-VM/Anti-Sandbox: 在线恶意软件沙箱评测"
+date: 2020-05-13 11:17:36 +0800
+categories: [Research]
+tags: [malware, sanbox, anti-vm, anti-sandbox, al-khaser, test]
+---
+
+## 简介
+
+恶意软件通常会嗅探虚拟沙箱环境以避免自动化行为分析，例如识别虚拟机的独特文件和进程，或执行虚拟机无法完全模拟的操作。因此，对于自动化行为分析系统而言，如何伪装虚拟环境而不被恶意软件检测到是一项非常重要的任务。本次测试选取了 10 个在线恶意软件沙箱分析平台，对其分析环境的模拟/伪装能力进行了测试和评估。
+
+测试使用了 [al-khaser](https://github.com/LordNoteworthy/al-khaser)，这是一个类似于 [Pafish](https://github.com/a0rtega/pafish) 的工具，但具有更新的反调试、反沙箱和反虚拟机检测技术。
+
+ ![Desktop View](https://camo.githubusercontent.com/1bdbeb3a09a0ea2d2587524e6926e6eb17b976cd9e0f142427bcc43c5ad7c793/68747470733a2f2f7777772e6d696e646d6569737465722e636f6d2f66696c65732f617661746172732f303033352f383333322f6f726967696e616c2f6176617461722e6a7067){: .normal }
+
+## 测试内容
+
+### 调试器检测
+
+- IsDebuggerPresent API, PEB.BeingDebugged...
+- TLS 回调
+- 硬/软件断点
+- VirtualAlloc
+- ...
+
+### DLL 注入检测
+
+- 检测是否有 DLL 注入到进程中以监控进程行为 (HOOK)
+
+### Virtual Box 检测
+
+- 文件和注册表，包括 VBoxMouse.sys, VirtualBox Guest Additions 目录...
+- 检查注册表、进程、服务，如 VBoxControl.exe, VBoxService...
+- 检测硬件名称、MAC 地址等...
+- ...
+
+### VMware 检测
+
+- 类似于 Virtual Box 检测
+
+### 其他虚拟机检测
+
+- Xen, QEMU, Wine, Paralles...
+
+### 分析工具进程检测
+
+- 检测分析工具进程的存在，如 OD, ProcessMonitor, Autorun...
+
+### 通用沙箱/虚拟机检测
+
+- 检测是否有特殊的进程名、模块名
+- 通过 WMI 检测真实硬件状态，如硬盘大小、内存大小、CPU 风扇、型号、BIOS 序列号名称、电源电压、温度等...
+
+*关于测试项目的更多技术细节，请参考 al-khaser
+
+*原工具还有其他测试方法，如时序攻击 (Timing Attack)，但由于时序攻击难以避免且难以测试，因此未包含在本次测试中。
+
+## 测试厂商
+
+| 厂商            | 链接              |
+| :-----            | :----             |
+| Threat Book (微步)      | https://s.threatbook.cn/ |
+| Tencent Habo (腾讯哈勃)| https://habo.qq.com/                  |
+| Maldun (魔盾)     | https://www.maldun.com/analysis/      |
+| Depthsec (微点)    | https://sandbox.depthsec.com.cn/index.php/ |
+| Qianxin (奇安信)    | https://sandbox.ti.qianxin.com/sandbox/page                  |
+| ANY.RUN                  | https://app.any.run/   |
+| HybridAnalysis (Falcon Sandbox)|https://www.hybrid-analysis.com/|
+| CAPE Sandbox| https://capesandbox.com/|
+| BD Sandbox Analyzer|https://www.bitdefender.com/business/enterprise-products/sandbox-analyzer.html|
+|Joe Sandbox|https://www.joesandbox.com/|
+
+## 测试标记
+
+- \* 共 226 个测试点
+
+- "P" 表示通过，即未被检测到；
+
+- "F" 表示失败，即被检测到；"N/A" 表示测试过程中崩溃，无结果。
+
+- 注：删除了原工具中一些可能存在误报或不稳定的测试点。
+
+## 测试结果
+
+### 总结
+
+按通过率排序，总百分比越高越好。绿色部分为完全通过，黄色部分为部分测试项通过，红色部分为无测试项通过。
+
+![Desktop View](/assets/img/malware-sandbox-evaluation/summary.png){: .normal }
+
+### 详情
+
+![Desktop View](/assets/img/malware-sandbox-evaluation/page-1.png){: .normal }
+![Desktop View](/assets/img/malware-sandbox-evaluation/page-2.png){: .normal }
+![Desktop View](/assets/img/malware-sandbox-evaluation/page-3.png){: .normal }
+![Desktop View](/assets/img/malware-sandbox-evaluation/page-4.png){: .normal }
+
+## 结论
+
+通过 WMI 获取真实硬件状态是重灾区... 几乎没有虚拟机能完全通过这些测试项。
+
+## 附件
+
+[anti sandbox test.xls](/assets/file/malware-sandbox-evaluation/anti-sandbox-test.zip)
diff --git a/_posts/2020-07-28-sample-submitter-zh-cn.md b/_posts/2020-07-28-sample-submitter-zh-cn.md
@@ -0,0 +1,39 @@
+---
+title: 自动提交误报/漏报文件
+date: 2020-07-28 00:00:00 -0500
+categories: [Project, Software]
+tags: [malware, fp, sample, threat]
+---
+
+
+## 简介
+
+恶意软件研究人员经常遇到一些杀毒软件厂商未能检测到恶意软件样本，或者错误地将正常文件标记为恶意文件的情况。为了建立一个自动报告误报/漏报文件的流程，我编写了一个 Python 工具，用于压缩样本并通过电子邮件提交给杀毒软件厂商。
+
+## 功能特点
+
+ - 自动将所有文件压缩成一个加密的 zip 文件。
+ - 可自定义 Zip 密码和邮件内容。
+ - 添加/删除杀毒软件厂商列表中的项目。
+ - 自动保存登录信息。
+ - 一键发送。
+ - 多语言支持（英语或简体中文）。
+
+## 截图
+
+
+ ![Desktop View](https://raw.githubusercontent.com/JerryLinLinLin/SampleMailSubmitter/master/screenshot/main_eng.png){: width="500" height="600" style="max-width: 70%" .normal}
+
+## [查看项目](https://github.com/JerryLinLinLin/SampleMailSubmitter)
+
+## 杀毒软件厂商及邮箱列表
+
+| 杀毒软件厂商  | 漏报 (False-Negative)       |误报 (False-Positive) |
+|:-----------------------------|:-----------------|:--------|
+| Kaspersky  | newvirus@kaspersky.com     |- |
+| ESET       | samples@eset.com       | samples@eset.com |
+| Mcafee | virus_research@mcafee.com | virus_research@mcafee.com   |
+| Bitdefender  | virus_submission@bitdefender.com     |virus_submission@bitdefender.com |
+| Avira  | virus@avira.com     |novirus@avira.com |
+| Emsisoft  | submit@emsisoft.com     |fp@emsisoft.com |
+| Sophos  | samples@sophos.com     |samples@sophos.com |
diff --git a/_posts/2021-06-23-huorong-rule-schema-zh-cn.md b/_posts/2021-06-23-huorong-rule-schema-zh-cn.md
@@ -0,0 +1,18 @@
+---
+title: 火绒 HIPS 规则 Schema
+date: 2021-06-23 22:22:00 -0500
+categories: [Project, Antivirus]
+tags: [hips, huorong, antivirus]
+---
+
+## 简介
+
+[火绒安全软件](https://www.huorong.cn/) 以允许用户创建自己的 HIPS 规则来防御恶意软件感染而闻名，但是当有许多具有相同模板的规则时，通过 GUI 编辑效率不高。在这里，我创建了规则文件的 JSON schema，用于错误检查和自动补全。
+
+## 用法
+
+- **`rule_schema.json`** - 主规则 JSON 的 schema
+
+- **`auto_schema.json`** - 判定缓存 JSON 的 schema
+
+## [查看项目](https://github.com/JerryLinLinLin/Huorong-HIPS-Rule-Schema)
diff --git a/_posts/2021-08-06-vt-smart-scanner-zh-cn.md b/_posts/2021-08-06-vt-smart-scanner-zh-cn.md
@@ -0,0 +1,83 @@
+---
+title: Virus Total 智能扫描器现已开源
+date: 2021-08-06 00:00:00 -0500
+categories: [Project, Antivirus]
+tags: [malware, scanner, vt]
+---
+
+## 简介
+
+Virus Total Smart Scanner 是一个可以对任意给定目录执行文件扫描的工具。它具有基本的扫描功能和实现，例如文件类型识别、规则匹配、缓存管理以及简洁的用户界面。
+
+扫描结果（文件是否恶意）基于 Virus Total 上几家受信任供应商的检测结果。它可以集成到上下文菜单中以执行右键扫描，或者通过文件哈希值打开 Virus Total 页面进行手动文件检查。
+
+![截图](https://raw.githubusercontent.com/JerryLinLinLin/VirusTotalSmartScanner/master/screenshot.png)
+
+## 特别说明
+
+Virus Total Smart Scanner 是我在 2018 年的高中实验项目。它最初发布在 [卡饭安全论坛](https://bbs.kafan.cn/thread-2133049-1-1.html)。那已经是差不多三年前的事了，我决定将其开源。
+
+该项目的结构不是很好，但功能还可以。它的目的是展示通过窃取 Virus Total 上著名供应商的检测结果（所谓的“云检测”）来制作反病毒扫描器是多么容易。许多懒惰和不负责任的供应商选择这种方法来使他们的检测率看起来“很棒”，但这可能会产生大量不可靠的检测和误报，从而损害整个反病毒社区。
+
+## 功能亮点
+
+- 高检测率，低误报率：仅获取谨慎厂商的识别结果，减少误报，避免看到一堆奇怪且难以理解的名称。
+- 准确分类，让您了解威胁类型。
+- 右键菜单集成，您可以一键扫描需要扫描的文件夹，省时省力。
+- 自动识别 PE 文件，节省扫描时间。
+- 可选：自动上传未知文件。
+- 您可以选择开启/关闭 PUA 检测。
+- 可自定义多引擎报告阈值。
+
+## 受信任供应商列表
+
+`Kaspersky`
+`ESET-NOD32`
+`Malwarebytes`
+`Microsoft`
+
+## 检测名称列表
+
+| Detection              |
+|------------------------|
+| Grayware.Unwanted      |
+| Grayware.RiskTool      |
+| Grayware.CoinMiner     |
+| Phishing.Generic       |
+| Exploit.Generic        |
+| Worm.Generic           |
+| Ransom.Generic         |
+| Rootkit.Generic        |
+| Backdoor.Bot           |
+| Backdoor.Generic       |
+| Trojan.Banker          |
+| Trojan.Spy             |
+| Trojan.Downloader      |
+| Trojan.PasswordStealer |
+| Trojan.Dropper         |
+| Trojan.Script          |
+| Trojan.Injector        |
+| Trojan.Generic         |
+| Malware.Confidence%    |
+
+## 使用方法
+
+下载并解压 zip 文件。运行 `VTScanner.exe`。
+
+## 故障排除
+
+- 如果在扫描过程中遇到“获取报告失败”或“上传失败”等提示，请检查您的网络连接；如有必要，请准备自己的代理服务器。
+- 如果长时间卡在扫描过程中，可能是因为 API 请求次数已达到限制（VTAPI 限制为 4 次/分钟），请稍候。
+- 软件内置了 API，但仍建议您填写自己的 API（在 VT 官网注册 -> 设置 -> APIkey 免费获取 API）。
+- 日志存储在程序目录\log 文件夹中，主界面上有一个按钮可以直接打开它。
+- 上传未知文件后，需要等待 VT 云端完成，此过程较慢，请稍候。
+
+## 贡献
+
+我不打算再开发这个项目了。欢迎您 fork 并自行开发。
+
+## 许可证
+
+有关许可权利和限制 (MIT)，请参阅 [LICENSE](https://github.com/JerryLinLinLin/VirusTotalSmartScanner/blob/master/LICENSE) 文件。
+
+## [查看项目](https://github.com/JerryLinLinLin/VirusTotalSmartScanner)
diff --git a/_posts/2022-07-15-antivirus-detection-name-dump-zh-cn.md b/_posts/2022-07-15-antivirus-detection-name-dump-zh-cn.md
@@ -0,0 +1,40 @@
+---
+title: 杀毒软件检测名称转储
+date: 2022-07-15 17:30:00 -0500
+categories: [Project, Antivirus]
+tags: [malware, antivirus, reverse]
+---
+
+## 关于
+
+本项目包含部分杀毒软件产品的恶意软件检测名称 CSV 文件，以及一个用于转储检测条目的 PowerShell 脚本。
+
+## 开始使用
+
+每个子文件夹包含带有供应商名称和日期的转储 CSV 文件。文件名以 BASE 结尾的文件包含来自供应商扫描引擎的名称，其他文件可能因检测来源（例如行为保护）而异。
+
+### 先决条件
+
+要运行 PowerShell 脚本：
+
+1. 下载 [Windows Sysinternals](https://docs.microsoft.com/sysinternals/downloads/sysinternals-suite) 并将其添加到 `PATH` 环境变量中，或者从 [Microsoft Store](https://www.microsoft.com/p/sysinternals-suite/9p7knl5rwt25) 安装。
+
+2. 使用 [PPLKiller](https://github.com/Mattiwatti/PPLKiller) 禁用 PPL (Protected Processes Light)，或者使用 Microsoft Windows 7（该系统不包含 PPL）。
+
+3. 如果可能，请禁用杀毒软件的自我保护模块。
+
+注意：要在 Windows 7 中运行此脚本，您可能需要 [更新 PowerShell](https://www.microsoft.com/download/details.aspx?id=54616)（v4.0 或更高版本）和 [.NET Framework](https://dotnet.microsoft.com/download/dotnet-framework)（v4.5 或更高版本）。
+
+## 用法
+
+`powershell -executionpolicy bypass -File .\AV_DUMP.ps1 <Name>`
+
+## 支持的供应商列表
+
+| 名称         | PPL | 需禁用自我保护 | 检测来源 | 准确度 |
+| ------------ | --- | ------------------ | ---------------- | -------- |
+| 火绒 (Huorong)      | 否  | 否                 | BASE             | 高     |
+| 卡巴斯基 (Kaspersky)    | 是 | 是                | BASE, PDM        | 中   |
+| Malwarebytes | 是 | 否                 | BASE, DDS        | 高     |
+
+## [查看项目](https://github.com/JerryLinLinLin/AV_Detection_Dump)
