CN114692150A - 一种基于沙箱环境的恶意代码分析方法、装置及相关设备 - Google Patents

Abstract

本发明的实施例公开一种基于沙箱环境的恶意代码分析方法、装置、电子设备及存储介质，涉及计算机网络安全技术领域，能够解决传统基于沙箱环境的恶意代码分析方法不能对策略化后的恶意代码进行有效识别的问题。所述恶意代码分析方法包括对目标样本进行静态分析，提取静态标签，根据静态标签匹配动态分析参数模板，基于动态分析参数模板构造沙箱环境，在沙箱环境中对目标样本进行动态分析，动态分析包括判断目标样本的进程是否退出，响应于目标样本的进程退出，标记退出原因标签，基于调整后的动态分析参数模板重新构造沙箱环境，对基于新构造沙箱环境对目标样本进行动态分析。本发明可以提升高级威胁的发现概率和线索揭示能力。

Description

一种基于沙箱环境的恶意代码分析方法、装置及相关设备

技术领域

本发明涉及计算机网络安全技术领域，尤其涉及一种基于沙箱环境的恶意代码分析方法、装置、电子设备及存储介质。

背景技术

恶意代码分析沙箱，通常是指主机环境模拟技术、网络环境模拟技术构建虚拟环境，将样本置于沙箱中，触发样本表现出恶意行为，进而对样本进行恶意性判定和行为特征的揭示。相比传统基于静态特征匹配的恶意代码分析，沙箱可以更有效发现利用加壳混淆和被攻击目标环境中的操作系统或应用软件漏洞进行逃避静态分析的高级恶意代码。传统的恶意代码分析沙箱，基于运行效率考虑，通常使用2-5分钟的检测时间约束单次虚拟执行的时长，以满足并发量，并且，通常以单文件为分析对象，以避免其他文件在沙箱中产生的噪音干扰数据。

随着基于沙箱环境的恶意代码行为分析手段逐渐普及，越来越多的高级恶意代码也开始采取反虚拟机、反沙箱的对抗规避策略，例如1)通过检查虚拟机环境标志，识别虚拟机进而跳转到非恶意的功能分支；2)通过一些延时操作，对抗沙箱分析时长限制的约束；3)恶意代码运行一次不满足恶意条件无法就退出不会继续检测。因此，其对于采用了反虚拟机、反沙箱策略的高对抗型APT攻击载荷和专业商用木马来说，传统的沙箱环境可能不能检测出被攻击者策略化后的恶意代码。

发明内容

有鉴于此，本发明实施例提供一种基于沙箱环境的恶意代码分析方法、装置、电子设备及存储介质，以解决传统基于沙箱环境的恶意代码分析方法不能对策略化后的恶意代码进行有效识别的问题。

第一方面，本发明实施例提供一种基于沙箱环境的恶意代码分析方法，应用于电子设备，包括：

对目标样本进行静态分析，提取静态标签；

根据所述静态标签匹配动态分析参数模板；

基于所述动态分析参数模板构造沙箱环境，在所述沙箱环境中对所述目标样本进行动态分析，所述动态分析包括判断目标样本的进程是否退出；

响应于所述目标样本的进程退出，分析所述目标样本的进程退出原因，标记退出原因标签；

根据所述退出原因标签判断是否调整所述动态分析参数模板中的参数，重新进行动态分析。

根据本发明实施例的一种具体实现方式，所述对目标样本进行静态分析，提取静态标签，包括：

通过解析文件结构，判断压缩包是否加密，若加密，提取静态标签为需人工干预；

通过解析PE文件，根据PE文件中的字符串判断是否有对CPU和内存大小的检测代码；若是，提取静态标签为加载动态函数库的函数名称和参数，所述函数名称和参数用于匹配动态分析参数模板。

根据本发明实施例的一种具体实现方式，所述静态标签，包括：

需人工干预标签、家族关联标签、上下文无关联标签、函数名称标签和参数标签中的至少一种。

根据本发明实施例的一种具体实现方式，所述动态分析参数模板中参数包括：

虚拟机分析时长、虚拟机CPU核数、虚拟机内存大小、动态函数库执行参数、压缩包解压密码、压缩包分析数量、虚拟网络接入模式、初始启动路径、启动文件名称、是否以重启模式分析中的至少一种。

根据本发明实施例的一种具体实现方式，所述根据所述退出原因标签判断是否调整所述动态分析参数模板中的参数，包括：

若退出原因标签为程序卡在sleep函数调用或者在做指定分支的循环，则调整所述动态分析参数模板中的虚拟机分析时长；

若退出原因标签为检查内存大小，则调整所述动态分析参数模板中的虚拟机内存大小；

若退出原因标签为检查网络动作，则调整所述动态分析参数模板中的虚拟网络接入模式。

根据本发明实施例的一种具体实现方式，还包括：

设置迭代次数阈值；

若重复进行动态分析的次数达到所述迭代次数阈值，结束动态分析。

根据本发明实施例的一种具体实现方式，还包括：

在所述目标样本动态分析结束后，将新的检测样本所提取的静态标签与调整后的动态分析参数模板进行匹配。

第二方面，本发明实施例提供一种基于沙箱环境的恶意代码分析装置，包括：

提取模块，用于对目标样本进行静态分析，提取静态标签；

匹配模块，用于根据所述静态标签匹配动态分析参数模板；

构造模块，用于基于所述动态分析参数模板构造沙箱环境，在所述沙箱环境中对所述目标样本进行动态分析，所述动态分析包括判断目标样本的进程是否退出；

标记模块，用于响应于所述目标样本的进程退出，分析所述目标样本的进程退出原因，标记退出原因标签；

调整模块，用于根据所述退出原因标签判断是否调整所述动态分析参数模板中的参数，重新进行动态分析。

根据本发明实施例的一种具体实现方式，还包括：

设置模块，用于设置迭代次数阈值；若重复进行动态分析的次数达到所述迭代次数阈值，结束动态分析。

第三方面，本发明实施例提供一种电子设备，所述电子设备包括：壳体、处理器、存储器、电路板和电源电路，其中，电路板安置在壳体围成的空间内部，处理器和存储器设置在电路板上；电源电路，用于为上述电子设备的各个电路或器件供电；存储器用于存储可执行程序代码；处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序，用于执行前述任一实现方式所述的基于沙箱环境的恶意代码分析方法。

第四方面，本发明的实施例还提供一种计算机可读存储介质，所述计算机可读存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现前述任一实现方式所述的基于沙箱环境的恶意代码分析方法。

本发明实施例提供的一种基于沙箱环境的恶意代码分析方法、装置、电子设备及存储介质，通过对目标样本进行静态分析，提取静态标签，根据静态标签匹配动态分析参数模板，基于动态分析参数模板构造沙箱环境，在沙箱环境中对目标样本进行动态分析，动态分析包括判断目标样本的进程是否退出；若是，对目标样本的进程退出原因进行分析，响应于所述目标样本的进程退出，分析所述目标样本的进程退出原因，标记退出原因标签；根据退出原因标签判断是否调整动态分析参数模板中的参数，重新进行动态分析，能够解决传统基于沙箱环境的恶意代码分析方法不能对策略化后的恶意代码进行有效识别的问题，提升高级威胁的发现和线索揭示能力。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。

图1为本发明的实施例一基于沙箱环境的恶意代码分析方法的流程图；

图2为本发明的实施例二基于沙箱环境的恶意代码分析方法的流程图；

图3为本发明的实施例三基于沙箱环境的恶意代码分析方法的流程图；

图4为本发明的实施例一基于沙箱环境的恶意代码分析装置的功能结构图；

图5为本发明的实施例二基于沙箱环境的恶意代码分析装置的功能结构图；

图6为本发明的一个实施例提供的一种电子设备的结构示意图。

具体实施方式

下面结合附图对本发明实施例进行详细描述。应当明确，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

本实施例提供一种基于沙箱环境的恶意代码分析方法，以解决传统基于沙箱环境的恶意代码分析方法不能对策略化后的恶意代码进行有效识别的问题。

图1为本发明实施例一的基于沙箱环境的恶意代码分析方法的流程示意图，如图1所示，本实施例的基于沙箱环境的恶意代码分析方法应用于电子设备。

本实施例的基于沙箱环境的恶意代码分析方法可以包括：

步骤101、对目标样本进行静态分析，提取静态标签；

一些实施例中，静态标签，包括但不限于：需人工干预标签、家族关联标签、上下文无关联标签、函数名称标签和参数标签等。对目标样本进行静态分析，提取静态标签，包括：

通过解析文件结构，判断压缩包是否加密，若加密，提取静态标签为需人工干预；

通过解析PE文件，根据PE文件中的字符串判断是否有对CPU和内存大小的检测代码；若是，提取静态标签为加载动态函数库的函数名称和参数，所述函数名称和参数用于匹配动态分析参数模板。

步骤102、根据静态标签匹配动态分析参数模板；

一些实施例中，动态分析参数模板中参数包括但不限于：

虚拟机分析时长、虚拟机CPU核数、虚拟机内存大小、动态函数库执行参数、压缩包解压密码、压缩包分析数量、虚拟网络接入模式、初始启动路径、启动文件名称、是否以重启模式分析等。根据退出原因标签判断是否调整所述动态分析参数模板中的参数，包括：

若退出原因标签为程序卡在sleep函数调用或者在做指定分支的循环，则调整动态分析参数模板中的虚拟机分析时长；

若退出原因标签为检查内存大小，则调整动态分析参数模板中的虚拟机内存大小；

若退出原因标签为检查网络动作，则调整动态分析参数模板中的虚拟网络接入模式。

步骤103、基于动态分析参数模板构造沙箱环境，在沙箱环境中对所述目标样本进行动态分析，动态分析包括判断目标样本的进程是否退出；

步骤104、若是，对目标样本进程退出原因进行分析，标记退出原因标签；

步骤105、根据退出原因标签判断是否调整所述动态分析参数模板中的参数，重新进行动态分析。

一些实施例中，还包括：

在目标样本动态分析结束后，将新的检测样本所提取的静态标签与调整后的动态分析参数模板进行匹配。

由于越来越多的高级恶意代码也开始采取反虚拟机、反沙箱的对抗规避策略，例如：1)通过检查虚拟机环境标志，识别虚拟机进而跳转到非恶意的功能分支；2)通过一些延时操作，对抗沙箱分析时长限制的约束；3)恶意代码运行一次不满足恶意条件无法就退出不会继续检测。因此，传统的沙箱环境可能不能检测出被攻击者策略化后的恶意代码。

本实施例中，通过对目标样本进行静态分析，提取静态标签，根据静态标签匹配动态分析参数模板，基于所述动态分析参数模板构造沙箱环境，在沙箱环境中对目标样本进行动态分析，动态分析包括判断目标样本的进程是否退出；响应于目标样本的进程退出，分析目标样本的进程退出原因，标记退出原因标签，根据退出原因标签判断是否调整动态分析参数模板中的参数，重新进行动态分析，能够解决传统基于沙箱环境的恶意代码分析方法不能对策略化后的恶意代码进行有效识别的问题，提升高级威胁的发现和线索揭示能力。

图2为本发明实施例二的基于沙箱环境的恶意代码分析方法的流程图，如图2所示，本实施例的基于沙箱环境的恶意代码分析方法可以包括：

步骤201、接收人工对目标样本分析出的动静态属性信息；

步骤202、根据动静态属性信息匹配动态分析参数模板。

如果人工对样本来源或者样本的动静态属性已经了解，则可直接选择对应的动态分析参数模板，对某批次恶意代码进行直接分析。如从针对某批次的压缩包加密样本，经威胁情报获知了本批次样本解压密码，可加入或丰富压缩包密码尝试集合的模板，应用于本批次样本的检测；或者安全分析人员通过静态分析模块，得知某恶意代码家族关联的新批次样本，可能具备反虚拟机检测能力，则可直接新建相关的高资源消耗的虚拟环境参数，对本批次样本进行虚拟执行。如果针对该样本尚没有相关的上下文知识，或者并无人力可参与决策，则对目标样本进行静态分析，提取静态标签。

步骤203、若未接收到人工对所述目标样本分析出的动静态属性信息，对目标样本进行静态分析，提取静态标签；

例如，通过文件结构深度解析，可发现压缩包是否加密，可作为标签提示人工干预；通过深度解析PE文件，可根据其中有意义的字符串，获得是否有对CPU和内存大小的检测代码，尤其对于特定样本家族，可直接提取到加载动态函数库的函数名称和参数，用于匹配动态分析参数模板。

步骤204、根据静态标签匹配动态分析参数模板；

预置动态分析参数模板来自于专家知识的参数策略模板集，并在分析过程中可动态迭代更新追加新的分析参数模板，以适应新发现的恶意代码家族的动态运行环境需求。

步骤205、若根据静态标签未匹配动态分析参数模板，则基于默认参数的动态分析参数模板构造沙箱环境。

如果基于静态与分析结果，可关联到已有的动态分析策略模板，则直接以关联到的最优策略模板进行虚拟分析；如果没有可匹配处理的分析参数模板，则以默认分析参数进入沙箱动态虚拟执行环节。

步骤206、基于动态分析参数模板构造沙箱环境，在沙箱环境中虚拟执行所述目标样本；

步骤207、在虚拟执行目标样本时，判断目标样本的进程是否退出；

步骤208、若是，对目标样本进程退出原因进行分析，标记退出原因标签；

对动态虚拟执行的结果以及目标样本进程退出原因进行分析，例如当虚拟环境中样本在所设置的超时时间内，仍未自主退出时，可根据超时前样本执行的动作，判断出样本对环境的需求，如程序卡在sleep函数调用或者在做指定分支的循环，则需要调整默认的分析时长；如果在调用检查内存大小或者网络动作的系统调用后，程序主动退出，则退出原因可标记为需要调整内存大小或网络资源。

步骤209、根据退出原因标签判断是否调整动态分析参数模板中的参数。

步骤210、若退出原因标签为正常自主结束，则结束动态分析。

步骤211、若退出原因标签为未知类型或不可干预调整，则发出需人工干预的提示信息。

对于同一目标样本，可通过多次自动或手动调整参数，重新构造沙箱环境进行虚拟执行、动态分析。

退出原因标签为正常自主结束，且无可疑虚拟环境检测或对抗动作，则结束动态分析；如果样本进程退出原因为沙箱需调整的参数且重试次数没有超过预设迭代次数阈值，且具备可疑虚拟环境检测或对抗动作，能与已有的分析参数模板关联，则可自动调整分析参数，重新进行动态分析；如果识别出动态行为退出模式为未知类型或者不可干预调整或者为其他条件，则提示需人工干预，等待人工最后处理。

一些实施例中，静态标签和/或退出原因标签为启发式标签，例如静态标签为压缩包加密，以使人工或计算机根据静态标签直接得到恶意代码类型。

一些实施例中，还包括：

设置迭代次数阈值；

若重复进行动态分析的次数达到迭代次数阈值，结束动态分析。

在设定的迭代限制次数内，基于人工辅助决策或者自动匹配决策，调用相关参数模板，实现对于不同样本，采取最大程度合适的运行参数集合，进行沙箱环境动态分析。

传统沙箱动态分析的逻辑只能基于默认参数分析、只运行一次、运行条件无法满足就不会继续检测。

本实施例中，动态分析参数模板可自定义，可根据人工经验随时扩展动态分析参数模板；通过支持预置专家知识策略模板库，用于分析具备反虚拟机，反沙箱策略的恶意样本。具备静态分析功能，提供基础的线索，可直接匹配已有的动态分析策略或者给出人工补充分析参数模板的标签线索；可人工基于已有分析参数模板，直接对单个样本进行分析；每轮动态分析结束，会打上退出原因标签；每轮动态分析结束后，可自动匹配已存在的较优参数模板，并以该模板进行下一轮沙箱自动动态分析，从而可以达到对抗反虚拟机和反沙箱恶意代码的目的。

一般情况下，基于批量化分析效率考虑，恶意代码分析沙箱通常只为虚拟环境模拟一个CPU，以节省分析资源。某高对抗性样本，通过调用windows的WMI指令(SELECT*FROMWin32_Processor)，来查询所处的操作系统的CPU可用核数是否小于等于1，来识别虚拟环境。当识别为虚拟环境后，恶意样本不会释放恶意文件，从而试图逃避沙箱的行为揭示能力。本实施例以自定义分享参数模板为基础，内置常用的反虚拟运行参数集合。对该类样本进行分析时，如图3所示，本实施例的基于沙箱环境的恶意代码分析方法可以包括：

步骤301、在静态分析环节，通过提取样本的静态调用信息，在样本未进行加壳或者混淆情况下，可提取关键字符信息，自动匹配到预置的用于反虚拟机的多CPU分析参数策略模板，从而进行自动尝试分析。

步骤302、如果在静态分析环节没有识别出关键的反虚拟机信息，则以默认参数策略进行动态虚拟分析，根据分析结果，在首轮动态分析完成后，会监控到恶意代码进行WMI的进程动作，发现其发出了查询CPU核数的可疑指令，并且之后没有表现出其他的恶意行为。

步骤303、根据首轮的动态分析结果，首轮CPU核数不符合其策略，自动对其采用预置的多CPU分析参数策略进行分析。当以多CPU策略构建沙箱环境并进行分析时，发现其表现出了相关的访问网络的关键行为，标定沙箱分析状体为分析完成。

步骤304、如果在动态调整后，仍然没有结果，则流程结束，标记沙箱分析状态为需要人工关注。

步骤305、当分析人员进行重点样本筛查时，可根据该最终的人工关注标签进行手动分析和威胁情报调查，以新建新的沙箱分析参数策略，并应用于该样本及类似的样本，从而为后续同家族或者同源木马的自动化行为揭示和挖掘提供分析参数基础。

本实施例中，对于使用反沙箱、反虚拟机特性的高对抗的恶意代码，可提升对其的威胁判定和动态线索提取效果。

通过图1～图3中所示方法实施例的技术方案，本申请针对于对抗沙箱分析的恶意代码，建立自定义分析参数模板功能为基础，通过预置人工参数策略和在多轮参数迭代分析后，不断动态添加新分析参数模板，可支持为不同特点的可疑威胁文件，以自动及半自动方式个性化进行虚拟执行，规避掉恶意代码针对沙箱以默认参数分析的假定，提升高级威胁的发现率和线索揭示能力。

图4为本发明基于沙箱环境的恶意代码分析装置实施例一的结构示意图，如图4所示，本实施例的装置可以包括：

提取模块401，用于对目标样本进行静态分析，提取静态标签；

匹配模块402，用于根据静态标签匹配动态分析参数模板；

构造模块403，用于基于动态分析参数模板构造沙箱环境，在沙箱环境中对目标样本进行动态分析，动态分析包括判断目标样本的进程是否退出；

标记模块404，用于响应于目标样本的进程退出，分析目标样本的进程退出原因，标记退出原因标签；

调整模块405，用于根据退出原因标签判断是否调整动态分析参数模板中的参数，重新进行动态分析。

本实施例的装置，可以用于执行图1所示方法实施例的技术方案，其实现原理和技术效果类似，此处不再赘述。

一些实施例中，如图5所示，本实施例的装置还可以包括：

接收模块406，用于接收人工对目标样本分析出的动静态属性信息；根据动静态属性信息匹配动态分析参数模板。

人工干预模块407，用于在退出原因标签为未知类型或不可干预调整时，发出需人工干预的提示信息。

设置模块408，用于设置迭代次数阈值；若重复进行动态分析的次数达到所述迭代次数阈值，结束恶意代码分析流程。

本实施例中，构造模块403还用于在根据静态标签未匹配动态分析参数模板，基于默认参数的动态分析参数模板构造沙箱环境。

匹配模块402还用于：在目标样本动态分析结束后，将新的检测样本所提取的静态标签与调整后的动态分析参数模板进行匹配。

本实施例的装置可以用于执行图1～图3所示方法实施例的技术方案，其实现原理和技术效果类似，此处不再赘述。

图6为本发明电子设备一个实施例的结构示意图，可以实现本发明图1～图3所示实施例的流程，如图6所示，上述电子设备可以包括：壳体61、处理器62、存储器63、电路板64和电源电路65，其中，电路板64安置在壳体61围成的空间内部，处理器62和存储器63设置在电路板64上；电源电路65，用于为上述电子设备的各个电路或器件供电；存储器63用于存储可执行程序代码；处理器62通过读取存储器63中存储的可执行程序代码来运行与可执行程序代码对应的程序，用于执行前述任一实施例所述的基于沙箱环境的恶意代码分析方法。

处理器62对上述步骤的具体执行过程以及处理器62通过运行可执行程序代码来进一步执行的步骤，可以参见本发明图1ˉ图3所示实施例的描述，在此不再赘述。

该电子设备以多种形式存在，包括但不限于：

(1)移动通信设备：这类设备的特点是具备移动通信功能，并且以提供话音、数据通信为主要目标。这类终端包括：智能手机(例如iPhone)、多媒体手机、功能性手机，以及低端手机等。

(2)移动个人计算机设备：这类设备属于个人计算机的范畴，有计算和处理功能，一般也具备移动上网特性。这类终端包括：PDA、MID和UMPC设备等，例如iPad。

(3)便携式娱乐设备：这类设备可以显示和播放多媒体内容。该类设备包括：音频、视频播放器(例如iPod)，掌上游戏机，电子书，以及智能玩具和便携式车载导航设备。

(4)服务器：提供计算服务的设备，服务器的构成包括处理器、硬盘、内存、系统总线等，服务器和通用的计算机架构类似，但是由于需要提供高可靠的服务，因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。

(5)其他具有数据交互功能的电子设备。

第四方面，本发明的实施例还提供一种计算机可读存储介质，所述计算机可读存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现前述任一实施例所述的基于沙箱环境的恶意代码分析方法。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

本说明书中的各个实施例均采用相关的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。

尤其，对于装置实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

为了描述的方便，描述以上装置是以功能分为各种单元/模块分别描述。当然，在实施本发明时可以把各单元/模块的功能在同一个或多个软件和/或硬件中实现。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory，ROM)或随机存储记忆体(Random AccessMemory，RAM)等。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。

Claims (10)

1.一种基于沙箱环境的恶意代码分析方法，其特征在于，应用于电子设备；所述方法包括：

对目标样本进行静态分析，提取静态标签；

根据所述静态标签匹配动态分析参数模板；

基于所述动态分析参数模板构造沙箱环境，在所述沙箱环境中对所述目标样本进行动态分析，所述动态分析包括判断所述目标样本的进程是否退出；

响应于所述目标样本的进程退出，分析所述目标样本的进程退出原因，标记退出原因标签；

根据所述退出原因标签判断是否调整所述动态分析参数模板中的参数，重新进行动态分析。

2.根据权利要求1所述的基于沙箱环境的恶意代码分析方法，其特征在于，所述对目标样本进行静态分析，提取静态标签，包括：

通过解析文件结构，判断压缩包是否加密，若加密，提取静态标签为需人工干预；

通过解析PE文件，根据PE文件中的字符串判断是否有对CPU和内存大小的检测代码；若是，提取静态标签为加载动态函数库的函数名称和参数，所述函数名称和参数用于匹配动态分析参数模板。

3.根据权利要求1或2所述的基于沙箱环境的恶意代码分析方法，其特征在于，所述静态标签，包括：

需人工干预标签、家族关联标签、上下文无关联标签、函数名称标签和参数标签中的至少一种。

4.根据权利要求1所述的基于沙箱环境的恶意代码分析方法，其特征在于，所述动态分析参数模板中参数包括：

虚拟机分析时长、虚拟机CPU核数、虚拟机内存大小、动态函数库执行参数、压缩包解压密码、压缩包分析数量、虚拟网络接入模式、初始启动路径、启动文件名称、是否以重启模式分析中的至少一种。

5.根据权利要求4所述的基于沙箱环境的恶意代码分析方法，其特征在于，所述根据所述退出原因标签判断是否调整所述动态分析参数模板中的参数，包括：

若退出原因标签为程序卡在sleep函数调用或者在做指定分支的循环，则调整所述动态分析参数模板中的虚拟机分析时长；

若退出原因标签为检查内存大小，则调整所述动态分析参数模板中的虚拟机内存大小；

若退出原因标签为检查网络动作，则调整所述动态分析参数模板中的虚拟网络接入模式。

6.根据权利要求1所述的基于沙箱环境的恶意代码分析方法，其特征在于，还包括：

设置迭代次数阈值；

若重复进行动态分析的次数达到所述迭代次数阈值，结束动态分析。

7.一种基于沙箱环境的恶意代码分析装置，其特征在于，包括：

提取模块，用于对目标样本进行静态分析，提取静态标签；

匹配模块，用于根据所述静态标签匹配动态分析参数模板；

构造模块，用于基于所述动态分析参数模板构造沙箱环境，在所述沙箱环境中对所述目标样本进行动态分析，所述动态分析包括判断目标样本的进程是否退出；

标记模块，用于响应于所述目标样本的进程退出，分析所述目标样本的进程退出原因，标记退出原因标签；

调整模块，用于根据所述退出原因标签判断是否调整所述动态分析参数模板中的参数，重新进行动态分析。

8.根据权利要求7所述的基于沙箱环境的恶意代码分析装置，其特征在于，还包括：

设置模块，用于设置迭代次数阈值；若重复进行动态分析的次数达到所述迭代次数阈值，结束动态分析。

9.一种电子设备，其特征在于，所述电子设备包括：壳体、处理器、存储器、电路板和电源电路，其中，电路板安置在壳体围成的空间内部，处理器和存储器设置在电路板上；电源电路，用于为上述电子设备的各个电路或器件供电；存储器用于存储可执行程序代码；处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序，用于执行前述权利要求1～6任一项所述的基于沙箱环境的恶意代码分析方法。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现前述权利要求1～6任一项所述的基于沙箱环境的恶意代码分析方法。

Images