汇总病毒样本的常用反调试技术、反分析技巧（持续更新）

自己在看到一些没见过的反调试技术时，感觉很好奇，不清楚时如何反调试的，但是还是会很努力的去弄懂它们，现在呢，我希望记录下我见过的一些反调试手段，这样后面大家如果碰到类似的反调试技术时，都会很容易理解这段恶意代码的作用了。

1、下图中是通过检测kernel32.dll模块中是否有导出wine_get_unix_file_name函数，来判断当前环境是否是Wine模拟器环境

2、下图中的v3的地址指向的字符串是python.exe，其实sub_401cde函数中是在遍历当前进程中是否有python.exe，这是在检测当前环境是否是在Cuckoo Sandbox中运行

3、下图中lpModuleName = "sbiedll.dll"，通过检测当前环境中是否能得到sbiedll.dll模块基址，从而判断它是否运行在Sandboxie环境中

4、摘抄别处的提到的反调试技术

1）BlockInput()函数的调用：该函数在调试会话期间有效，当函数被调用时，鼠标和键盘将会被禁用，而这在实际执行中不会发生。

2）IsDebuggerPresent()和CheckRemoteDebuggerPresent()函数的调用。

3）将无效句柄推送到ntdll.NtClose()或CloseHandle()：非常古老且被人熟知的调试器检测方法。

4）LoadLibrary()或LdrLoadDll()函数的调用：使调试会话崩溃。

5）NtQueryInformationProcess()函数的调用：使用ProcessDebugPort类来检查程序是否被调试。

6）OpenProcess()函数和csrss.exe：搜索正在运行的csrss.exe并将其进程ID传递给OpenProcess()以检测程序是否正在被调试。

5、摘抄别处的提到的反分析技巧

1）检查avghookx.dll和avghooka.dll文件的存在。这两个文件是AVG反病毒软件的一部分。

2）调用调用FindWindowW()函数来搜索当前打开的包含以下标题的窗口
OLLYDBG、WinDbgFrameClass、Immunity Debugger、Zeta Debugger、Rock Debugger、ObsidianGui

3）使用GetModuleHandle()函数检查以下动态链接库（DLL）文件是否存在。
SbieDll.dll、dbghelp.dll、snxhk.dll、api_log.dll、dir_watch.dll、vmcheck.dll、wpespy.dll、pstorec.dll

4）枚举并检查当前运行的所有进程，查找以下任何进程是否存在。这些进程同样与恶意软件分析工具有关。

6、摘抄别处的提到的反沙箱技术

1）检查wine_get_unix_file_name()函数是否在“Wine”沙盒环境中运行。

2）检查所使用的文件名是否是“sample.exe”，是否在“C:\\insideTM\\”文件夹中运行。这两点是Anubis沙箱环境的特点。

3）检查登陆用户是否使用以下用户名，这些用户名是沙盒环境常用的用户名：
SANDBOX、MALTEST、MALWARE、VIRUS、TEQUILABOOMBOOM

4）检查所在文件夹名称中是否包含以下字符串。这些字符串同样是沙盒环境常用的文件夹名称：
SAMPLE、VIRUS、SANDBOX

摘抄的链接：http://bbs.360.cn/forum.php?mod=viewthread&tid=14831246&highlight=satan