备注
原文地址：https://evasions.checkpoint.com/techniques/network.html
原文标题：Evasions: Network
更新日期：2021年5月27日
此文后期：根据自身所学进行内容扩充
因自身技术有限，只能尽自身所能翻译国外技术文章，供大家学习，若有不当或可完善的地方，希望可以指出，用于共同完善这篇文章。


目录

所使用的网络检测方法

1. 具体的网络属性

1.1. 检查MAC地址是否是特定的

1.2. 检查适配器名称是否是特定的

1.3. 检查网络共享的提供者的名称是否是特定的

2. 检查网络是否属于安全范围

3. 基于NetValidateName结果的反伪装技术

4. 基于Cuckoo ResultServer连接的反伪装技术

识别标志：

反制措施

归功于

网络检测方法
这一组的规避技术与网络有着某种联系。要么使用与网络有关的功能，要么检查网络参数--如果它们与通常的主机操作系统不同，那么虚拟环境很可能被检测到。
1. 具体的网络属性
不同虚拟环境的供应商为他们的产品硬编码了一些值（MAC地址）和名称（网络适配器）--由于这一事实，这种环境可以通过检查适当对象的属性来检测。
1.1. 检查MAC地址是否是特定的
使用的函数：

GetAdaptersAddresses(AF_UNSPEC, ...)

GetAdaptersInfo

代码样本(函数GetAdaptersAddresses)：

此代码样本的作者：pafish项目
代码样本(函数etAdaptersInfo)：

此代码样本的作者：al-khaser项目
检测表：

检查MAC地址是否从以下值开始:

检测

MAC地址的开头是

字节数

Parallels

00:1C:42

\x00\x1C\x42

VirtualBox

08:00:27

\x08\x00\x27

VMware

00:05:69

\x00\x05\x69

00:0C:29

\x00\x0C\x29

00:1C:14

\x00\x1C\x14

00:50:56

\x00\x50\x56

Xen

00:16:E3

\x00\x16\xE3

1.2. 检查适配器名称是否是特定的
使用的函数：

GetAdaptersAddresses(AF_UNSPEC, ...)

GetAdaptersInfo

代码样本(函数GetAdaptersAddresses)：

此代码样本的作者：pafish项目
代码样本(函数GetAdaptersInfo)：

此代码样本的作者：al-khaser项目
检测表：

检查适配器的名称为:

检测

名称

VMware

Vmware

1.3. 检查网络共享的提供者的名称是否是特定的
使用的函数（见关于本地函数的注释）：

WNetGetProviderName(WNNC_NET_RDR2SAMPLE, ...)

代码样本：

此代码样本的作者：pafish项目
检测表：

检测

名称

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)