虚拟化/沙箱规避

对手可能会采用各种方法检测和规避虚拟化和分析环境。这可能包括根据检查是否存在虚拟机环境 (VME) 或沙箱的工件的结果更改行为。如果对手检测到 VME，他们可能会更改其恶意软件以脱离受害者或隐藏植入物的核心功能。他们还可能在投放二级或其他有效载荷之前搜索 VME 工件。对手可能会在自动化发现期间使用从虚拟化/沙箱规避中学到的信息来塑造后续行为。(引用: Deloitte Environment Awareness) 对手可能会使用几种方法来实现虚拟化/沙箱规避，例如检查安全监控工具（例如 Sysinternals、Wireshark 等）或与分析或虚拟化相关的其他系统工件。对手还可能检查合法用户活动以帮助确定是否在分析环境中。其他方法包括在恶意软件代码中使用睡眠计时器或循环以避免在临时沙箱中运行。(引用: Unit 42 Pirpi July 2015)