备注
原文地址：https://evasions.checkpoint.com/techniques/processes.html
原文标题：Evasions: Processes
更新日期：2021年5月27日
此文后期：根据自身所学进行内容扩充
因自身技术有限，只能尽自身所能翻译国外技术文章，供大家学习，若有不当或可完善的地方，希望可以指出，用于共同完善这篇文章。


目录

进程和库的检测方法

1.检查特定的正在运行进程和已加载的库

1.1. 检查特定进程是否正在运行

1.2. 检查进程地址空间中是否加载了特定的库

1.3. 检查特定库中是否存在特定函数

1.4. 反制措施

2.检查进程地址空间中是否存在特定的伪装（仅限于Sandboxie）

2.1. 反制措施

归功于

进程和库的检测方法
虚拟环境启动了一些特定的辅助进程，这些进程在通常的主机操作系统中没有被执行。还有一些特定的模块被加载到进程地址空间。
1.检查特定的正在运行进程和已加载的库
1.1. 检查特定进程是否正在运行
使用的函数：

CreateToolhelp32Snapshot

psapi.EnumProcesses (WinXP, Vista)

kernel32.EnumProcesses (Win7+)

代码样本：

识别标志：
没有提供识别标志，因为很难说清楚进程的快照中到底查询了什么。
检测表：

检查以下进程是否正在运行：

检测

进程

JoeBox

joeboxserver.exe

joeboxcontrol.exe

Parallels

prl_cc.exe

prl_tools.exe

VirtualBox

vboxservice.exe

vboxtray.exe

VirtualPC

vmsrvc.exe

vmusrvc.exe

VMware

vmtoolsd.exe

vmacthlp.exe

vmwaretray.exe

vmwareuser.exe

vmware.exe

vmount2.exe

Xen

xenservice.exe

xsvc_depriv.exe

WPE Pro

WPE Pro.exe

注意：WPE Pro是一个嗅探器，不是虚拟机，但它与虚拟机检测一起使用。
1.2. 检查进程地址空间中是否加载了特定的库
使用的函数：

GetModuleHandle

代码样本：

该代码样本的作者：al-khaser项目
识别标志：
如果以下函数包含其唯一的参数来自于列表`库`。

GetModuleHandle(module_name)

那么这就表明应用程序试图使用这种规避技术。
检测表：

检查进程地址空间中是否加载了下列库:

检测

库

CWSandbox

api_log.dll

dir_watch.dll

pstorec.dll

Sandboxie

sbiedll.dll

ThreatExpert

dbghelp.dll

VirtualPC

vmcheck.dll

WPE Pro

wpespy.dll

注意：WPE Pro是一个嗅探器，不是虚拟机，但它与虚拟机检测一起使用。
1.3. 检查特定库中是否存在特定函数
使用的函数（请参阅有关本机函数的注释）：

kernel32.GetProcAddress

kernel32.LdrGetProcedureAddress (called internally)

ntdll.LdrGetProcedureAddress

ntdll.LdrpGetProcedureAddress (called internally)

代码样本：

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)