x3ucher/hooxbox
GitHub: x3ucher/hooxbox
基于 API hooking 技术掩盖 Windows 沙箱虚拟化指纹的反检测工具,帮助恶意软件分析获得更真实的环境。
Stars: 0 | Forks: 1
# HooksBox - 高级 Windows 反检测沙箱
**HooksBox** 是一个复杂的沙箱环境保护系统,旨在对恶意软件分析隐藏虚拟化特征。通过利用 API hooking 技术,它掩盖了 VirtualBox(以及其他虚拟化软件)的指纹,为安全研究和恶意软件分析创造了更逼真的环境。
## 🛡️ 问题背景
现代恶意软件采用复杂的检测技术来识别虚拟化或沙箱环境。当检测到此类环境时,恶意软件通常会改变其行为,要么停止恶意活动,要么部署规避战术。这严重影响了安全分析和研究工作。
## ✨ 解决方案
HooksBox 实现了一种主动防御机制,可以实时拦截和修改系统 API 调用,从而有效地将沙箱从恶意软件的窥探中“隐藏”起来。它充当了您分析环境的数字伪装。
## 🔧 主要特性
- **API Hooking 引擎**:实时拦截关键的 Windows API 函数
- **VirtualBox 特征掩盖**:隐藏注册表键、文件、进程和其他 VirtualBox 特定的指示器
- **Minhook 集成**:利用强大的 [MinHook 库](https://github.com/TsudaKageyu/minhook) 实现稳健的 API hooking
- **可自定义的 Hooks**:易于扩展以覆盖额外的检测向量
- **轻量级设计**:对主机系统的性能影响降至最低
## 📊 操作配置文件
HooksBox 支持三种可配置的操作配置文件,以在检测覆盖率、性能和稳定性之间取得平衡:
- **Minimal 配置文件**:注册表 + 文件系统 + 基本网络指示器;侧重于稳定性。
- **Advanced 配置文件**:增加 WMI/设备;适用于大多数批量检测方法。
- **Enhanced 配置文件**:包含用于低级指示器和时序的内核驱动程序;实现最大覆盖范围。
## 🏗️ 系统架构
## 🚀 入门指南
### 前置条件
- Windows 10/11 (64 位)
- 带有 C++ 支持的 Visual Studio 2019 或更新版本
- 管理员权限(用于驱动程序安装)
1. **克隆代码库:**
git clone https://github.com/yourusername/hooksbox.git
cd hooksbox
2. **使用 Visual Studio 构建:**
- 在 Visual Studio 中打开 HooksBox.sln
- 选择 Release x64 配置
- 构建解决方案
3. **使用 Launcher 获得交互式体验**
## 🔬 测试保护效果
要验证 HooksBox 的有效性,您可以使用以下检测工具:
- [Al-Khaser](https://github.com/ayoubfaouzi/al-khaser) - Anti-VM、反沙箱和反调试工具
- [VMDetect](https://github.com/PerryWerneck/vmdetect/) - 虚拟机检测工具包
- [pafish](https://github.com/a0rtega/pafish) - Paranoid Fish - 用于检测分析环境的演示工具
### 在 al-khaser 上的使用示例:
## 📁 项目结构
```
HooksBox/
├── HooksBox/
│ ├── filters/
│ ├── hooks/ # Individual API hook implementations
│ │ ├── registry/ # Registry-related hooks
│ │ ├── filesystem/ # File system hooks
│ │ ├── wmi/ # WMI hooks
│ │ └── system/ # System information hooks
│ └── utils/ # Utilities and helpers
├── Launcher
└── tools/
└── minhook/ # MinHook submodule
```
## 🧩 未来增强计划
即将发布的版本中计划推出的功能:
- [ ] 扩展虚拟化支持:VMware、Hyper-V 和 QEMU 掩盖
- [ ] 主机组件:用于更深层保护的外部 hooking
- [ ] 跨平台兼容性:Linux 沙箱保护模块
## ⚠️ 免责声明与法律须知
重要提示:本工具仅适用于:
- 合法的安全研究
- 受控环境中的恶意软件分析
- 教育目的
- 改进沙箱和虚拟化安全性
请勿将本软件用于:
- 绕过您不拥有的系统上的安全措施
- 非法活动
- 传播恶意软件
作者不对本软件的任何滥用行为承担任何责任。
## 🚀 入门指南
### 前置条件
- Windows 10/11 (64 位)
- 带有 C++ 支持的 Visual Studio 2019 或更新版本
- 管理员权限(用于驱动程序安装)
1. **克隆代码库:**
git clone https://github.com/yourusername/hooksbox.git
cd hooksbox
2. **使用 Visual Studio 构建:**
- 在 Visual Studio 中打开 HooksBox.sln
- 选择 Release x64 配置
- 构建解决方案
3. **使用 Launcher 获得交互式体验**
## 🔬 测试保护效果
要验证 HooksBox 的有效性,您可以使用以下检测工具:
- [Al-Khaser](https://github.com/ayoubfaouzi/al-khaser) - Anti-VM、反沙箱和反调试工具
- [VMDetect](https://github.com/PerryWerneck/vmdetect/) - 虚拟机检测工具包
- [pafish](https://github.com/a0rtega/pafish) - Paranoid Fish - 用于检测分析环境的演示工具
### 在 al-khaser 上的使用示例:
## 📁 项目结构
```
HooksBox/
├── HooksBox/
│ ├── filters/
│ ├── hooks/ # Individual API hook implementations
│ │ ├── registry/ # Registry-related hooks
│ │ ├── filesystem/ # File system hooks
│ │ ├── wmi/ # WMI hooks
│ │ └── system/ # System information hooks
│ └── utils/ # Utilities and helpers
├── Launcher
└── tools/
└── minhook/ # MinHook submodule
```
## 🧩 未来增强计划
即将发布的版本中计划推出的功能:
- [ ] 扩展虚拟化支持:VMware、Hyper-V 和 QEMU 掩盖
- [ ] 主机组件:用于更深层保护的外部 hooking
- [ ] 跨平台兼容性:Linux 沙箱保护模块
## ⚠️ 免责声明与法律须知
重要提示:本工具仅适用于:
- 合法的安全研究
- 受控环境中的恶意软件分析
- 教育目的
- 改进沙箱和虚拟化安全性
请勿将本软件用于:
- 绕过您不拥有的系统上的安全措施
- 非法活动
- 传播恶意软件
作者不对本软件的任何滥用行为承担任何责任。标签:API Hooking, Conpot, DAST, MinHook, VirtualBox, Windows安全, WMI, 内核驱动, 反检测, 反沙箱, 威胁情报, 开发者工具, 恶意软件分析, 数字伪装, 数据包嗅探, 数据展示, 无线安全, 沙箱逃逸, 私有化部署, 端点可见性, 红队, 网络协议, 网络安全, 网络安全审计, 虚拟化隐藏, 防御规避, 隐私保护