マルウェアの視点で見るサンドボックス:合法マルウェアで実感「リアルとサンドボックスの違い」 (1/3) - @IT

(情報元のブックマーク数

スクリーンショットでリアルかサンドボックスかを見分けるとか。スクリーンサイズも。

図2と比較すると、壁紙は一色で、必要最小限のアイコンしかありません。つまり、マルウェア解析用ホスト、サンドボックスである可能性が考えられます。この通り、デスクトップのスクリーンショットを見るだけで、ユーザーの環境なのか、サンドボックスなのかを簡単に判別することができます。同様に異なる16台の端末のスクリーンショットのサムネイルを並べてみました。 図4 ShinoBOT感染端末のスクリーンショット
一目で分かるように、左側が「リアルな環境」で、右側が「サンドボックス環境」となります。最近のPCやモニターはワイド画面(16:9)が主流ですが、サンドボックス上の仮想環境は従来の4:3の画面が人気のようです。つまり、画面の解像度もサンドボックスかどうかを判断する基準になります。

合法マルウェアで実感「リアルとサンドボックスの違い」 (1/3):マルウェアの視点で見るサンドボックス - @IT

screenshot