Уклонение от виртуализации/песочницы

Злоумышленники могут использовать различные средства для обнаружения сред виртуализации и анализа и уклонения от них. Это может включать изменение поведения после обнаружения артефактов, свидетельствующих о виртуальной машинной среде (VME) или песочнице. При обнаружении VME злоумышленники могут изменять поведение вредоносного ПО, прекращая взаимодействие с жертвой или скрывая основные функции полезной нагрузки. Они также могут искать артефакты VME перед сбросом последующих полезных нагрузок. Злоумышленники могут использовать информацию, полученную в ходе уклонения от виртуализации/песочницы, при автоматическом изучении для формирования последующих действий. Злоумышленники могут использовать несколько методов для уклонения от виртуализации/песочницы, например проверять системные артефакты, связанные с анализом или виртуализацией. Злоумышленники также могут проверять наличие признаков легитимной активности пользователя, чтобы определить, находится ли вредоносное ПО в среде анализа.