Множество вредоносного ПО прежде чем исполнить свое прямое назначение может пытаться определить среду, в которой оно запущено, и в зависимости от результата этой проверки может действовать по разному, например в случае если было определено, что ПО запущено в виртуальной среде завершить исполнение, чтобы средства динамического анализа не смогли осуществить детектирование угрозы.

Здесь есть множество нюансов, начиная с того, что множество современных систем и так виртуализированы, включая рабочие станции пользователей, и заканчивая особенностями гипервизора или механизмами детектирования конкретного вендора. Тем не менее есть множество популярных способов обнаружения виртуальных сред, которыми пользуются злоумышленники и которые стараются предусмотреть производители решений.

Сегодня вашему вниманию предоставляется небольшая подборка инструментов для тестирования виртуальных сред и песочниц, аналогично тому, как это делает ВПО.

https://github.com/LordNoteworthy/al-khaser

https://github.com/a0rtega/pafish

https://github.com/CheckPointSW/InviZzzible

И дополнительно неплохой материал с описанием и примерами некоторых техник обхода > https://evasions.checkpoint.com/