analyzing-malware-sandbox-evasion-techniques
通过分析 Cuckoo/AnyRun 行为报告中的时序检查、虚拟机工件查询、用户交互检测和睡眠膨胀模式,检测恶意软件样本中的沙箱逃避技术
Best use case
analyzing-malware-sandbox-evasion-techniques is best used when you need a repeatable AI agent workflow instead of a one-off prompt.
通过分析 Cuckoo/AnyRun 行为报告中的时序检查、虚拟机工件查询、用户交互检测和睡眠膨胀模式,检测恶意软件样本中的沙箱逃避技术
Teams using analyzing-malware-sandbox-evasion-techniques should expect a more consistent output, faster repeated execution, less prompt rewriting.
When to use this skill
- You want a reusable workflow that can be run more than once with consistent structure.
When not to use this skill
- You only need a quick one-off answer and do not need a reusable workflow.
- You cannot install or maintain the underlying files, dependencies, or repository context.
Installation
Claude Code / Cursor / Codex
Manual Installation
- Download SKILL.md from GitHub
- Place it in
.claude/skills/analyzing-malware-sandbox-evasion-techniques/SKILL.mdinside your project - Restart your AI agent — it will auto-discover the skill
How analyzing-malware-sandbox-evasion-techniques Compares
| Feature / Agent | analyzing-malware-sandbox-evasion-techniques | Standard Approach |
|---|---|---|
| Platform Support | Not specified | Limited / Varies |
| Context Awareness | High | Baseline |
| Installation Complexity | Unknown | N/A |
Frequently Asked Questions
What does this skill do?
通过分析 Cuckoo/AnyRun 行为报告中的时序检查、虚拟机工件查询、用户交互检测和睡眠膨胀模式,检测恶意软件样本中的沙箱逃避技术
Where can I find the source code?
You can find the source code on GitHub using the link provided at the top of the page.
SKILL.md Source
# 分析恶意软件沙箱逃避技术 ## 概述 沙箱逃避(MITRE ATT&CK T1497)允许恶意软件检测分析环境并改变行为以规避检测。本技能分析 Cuckoo Sandbox 和 AnyRun 的行为报告中的逃避指标,包括基于时序的检查(GetTickCount、QueryPerformanceCounter、睡眠膨胀)、虚拟机工件检测(注册表键、MAC 地址前缀、进程名称如 vmtoolsd.exe)、用户交互检测(鼠标移动、键盘输入)和环境指纹识别(磁盘大小、CPU 数量、内存容量)。检测规则标记表现出这些行为的样本以供深入人工分析。 ## 前置条件 - Cuckoo Sandbox 2.0+ 或 AnyRun 账户,用于行为分析报告 - Python 3.8+,带 json 库用于报告解析 - JSON 格式的行为报告导出 ## 步骤 1. 解析 Cuckoo/AnyRun 行为报告 JSON 文件 2. 提取与时序相关函数的 API 调用序列 3. 通过注册表查询和 WMI 调用识别虚拟机工件检测 4. 通过比较请求的与实际的睡眠时长检测睡眠膨胀 5. 标记用户交互检测(GetCursorPos、GetAsyncKeyState 模式) 6. 根据技术数量和多样性对逃避复杂性进行评分 7. 将检测到的技术映射到 MITRE ATT&CK T1497 子技术 ## 预期输出 JSON 报告,列出检测到的逃避技术及 MITRE ATT&CK 映射、API 调用证据、逃避复杂性评分,以及逃避类别分类(时序、虚拟机检测、用户交互、环境指纹识别)。
Related Skills
reverse-engineering-rust-malware
使用 IDA Pro 和 Ghidra 对 Rust 编译的恶意软件进行逆向工程,掌握处理非空终止字符串、提取 crate 依赖项和 Rust 特有控制流分析的专项技术。
reverse-engineering-malware-with-ghidra
使用 NSA 的 Ghidra 反汇编器和反编译器对恶意软件二进制文件进行逆向工程,在汇编和伪 C 代码层面理解其内部逻辑、密码学例程、C2 协议和规避技术。适用于恶意软件逆向工程、反汇编分析、反编译、二进制分析或理解恶意软件内部机制等请求。
reverse-engineering-dotnet-malware-with-dnspy
使用 dnSpy 反编译器和调试器对 .NET 恶意软件进行逆向工程,分析 C#/VB.NET 源代码,识别混淆技术,提取配置信息,理解包括信息窃取器、远程访问木马(RAT)和加载器在内的恶意功能。适用于 .NET 恶意软件分析、C# 恶意软件反编译、托管代码逆向工程或 .NET 混淆分析等请求。
reverse-engineering-android-malware-with-jadx
使用 JADX 反编译器对恶意 Android APK 文件进行逆向工程,分析 Java/Kotlin 源代码,识别包括数据窃取、C2 通信、权限提升和覆盖攻击在内的恶意功能。检查 Manifest 权限、Receiver、Service 及原生库。适用于 Android 恶意软件分析、APK 逆向工程、移动端恶意软件调查或 Android 威胁分析等请求。
performing-static-malware-analysis-with-pe-studio
使用 PEStudio 对 Windows PE(可移植可执行文件)恶意软件样本进行静态分析, 检查文件头、导入表、字符串、资源和指标,无需执行二进制文件。 识别可疑特征,包括加壳、反分析技术和恶意导入。适用于静态恶意软件分析、 PE 文件检查、Windows 可执行文件分析或执行前恶意软件分级等请求场景。
performing-malware-triage-with-yara
使用 YARA 规则对文件模式、字符串、字节序列和结构特征进行匹配,快速分级和分类恶意软件样本, 识别已知恶意软件家族及可疑指标。涵盖规则编写、扫描和与分析流程的集成。适用于 YARA 规则创建、 恶意软件分类、模式匹配、样本分级或基于签名的检测等请求场景。
performing-malware-persistence-investigation
系统性地调查 Windows 和 Linux 系统上的所有持久化机制,以识别恶意软件如何在重启后存活并维持访问。
performing-malware-ioc-extraction
恶意软件 IOC(失陷指标)提取是指通过分析恶意软件,识别可操作的失陷指标,包括文件哈希、网络指标(C2 域名、IP 地址、URL)、注册表修改、互斥体名称、嵌入字符串和行为产物。
performing-malware-hash-enrichment-with-virustotal
使用 VirusTotal API 富化恶意软件文件哈希,获取检测率、行为分析、YARA 匹配和上下文威胁情报,用于事件分类和 IOC 验证。
performing-firmware-malware-analysis
分析固件镜像中嵌入的恶意软件、后门和未授权修改,目标包括路由器、IoT 设备、UEFI/BIOS 和嵌入式系统。涵盖固件提取、文件系统分析、二进制逆向工程和 Bootkit 检测。适用于固件安全 分析、IoT 恶意软件调查、UEFI Rootkit 检测或嵌入式设备入侵评估等请求场景。
performing-automated-malware-analysis-with-cape
部署和操作 CAPEv2 沙箱,进行自动化恶意软件分析,具备行为监控、载荷提取、配置解析和反规避能力。
mapping-mitre-attack-techniques
将观察到的对手行为、安全告警和检测规则映射到 MITRE ATT&CK 技术和子技术,以量化检测覆盖率并指导控制优先级。当构建基于 ATT&CK 的覆盖热图、为 SIEM 告警标记技术 ID、将安全控制与对手攻击手册对齐,或向高层报告威胁暴露时使用。适用于涉及 ATT&CK Navigator、Sigma 规则、MITRE D3FEND 或覆盖缺口分析的请求。