基于时间的规避

对手可能会采用各种基于时间的方法来检测和规避虚拟化和分析环境。这可能包括枚举基于时间的属性，例如正常运行时间或系统时钟，以及使用计时器或其他触发器来规避虚拟机环境 (VME) 或沙箱，特别是那些自动化或仅运行有限时间的环境。 对手可能会采用各种基于时间的规避方法，例如使用编程睡眠命令或本机系统调度功能（例如计划任务/作业）在初始执行时延迟恶意软件功能。延迟还可能基于等待特定受害者条件满足（例如系统时间、事件等）或采用计划的多阶段通道以避免分析和审查。(引用: Deloitte Environment Awareness) 还可以使用良性命令或其他操作来延迟恶意软件执行。循环或其他不必要的命令重复，例如Ping，可能用于延迟恶意软件执行，并可能超过自动化分析环境的时间阈值。(引用: Revil Independence Day)(引用: Netskope Nitol) 另一种变体，通常称为 API 锤击，涉及对本机 API函数进行各种调用，以延迟执行（同时也可能通过垃圾数据过载分析环境）。(引用: Joe Sec Nymaim)(引用: Joe Sec Trickbot) 对手还可能使用时间作为检测沙箱和分析环境的指标，特别是那些试图操纵时间机制以模拟更长时间的环境。例如，对手可能能够通过在执行睡眠函数之前和之后采样和计算环境时间戳的预期值来识别加速时间的沙箱。(引用: ISACA Malware Tricks)