备注
原文地址：f1fK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6W2N6X3q4K6K9h3!0F1M7#2)9J5k6h3y4Z5k6h3y4C8M7r3!0A6L8Y4c8Q4x3X3g2U0L8$3#2Q4x3V1k6@1k6h3y4Z5L8X3W2I4N6h3g2K6i4K6u0r3N6h3W2Q4x3X3c8S2M7Y4c8A6k6X3q4U0N6s2y4Q4x3X3g2Z5N6r3#2D9
原文标题：Evasions: UI artifacts
更新日期：2021年5月20日
此文后期：根据自身所学进行内容扩充
因自身技术有限，只能尽自身所能翻译国外技术文章，供大家学习，若有不当或可完善的地方，希望可以指出，用于共同完善这篇文章。

目录

用户界面伪装检测方法

1.检查操作系统中是否存在具有特定类名的窗口

2.检查顶层窗口数量是否过少

识别标志

反制措施

归功于

用户界面伪装检测方法
这一组描述的技术滥用了这样一个事实：一些窗口的名称只存在于虚拟环境中，而不是通常的主机操作系统。此外，主机操作系统包含大量的窗口，而虚拟机和沙盒则倾向于将打开的窗口保持在最低水平。它们的数量被检查出来，并得出结论，这是否是一个虚拟机。
1.检查操作系统中是否存在具有特定类名的窗口
检测表

检查操作系统中是否存在具有以下类别名称的窗口:

检测

类别名称

VirtualBox

VBoxTrayToolWndClass

VBoxTrayToolWnd

代码样本

该代码样本的作者：al-khaser project
2.检查顶层窗口数量是否过少
如上所述，主机操作系统包含大量的窗口，而虚拟机和沙盒则努力将打开的窗口保持在可能的最低限度。窗口数量被测量，并得出结论，这是否是一个虚拟机。
如果操作系统中的窗口太少，这可能是虚拟环境的一个迹象。常规的主机有很多（>10）顶级窗口。
代码样本

识别标志
没有为这个规避技术提供识别标志，因为很难说代码的目的是执行某种规避技术而不是 "合法 "行动。
反制措施

versus windows with certain class names: Exclude windows with particular names from enumeration or modify these names.

versus checking top level windows' number: Create fake windows in the system so that their number will not be small or equal to the predefined numbers.

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课