CN117235722A - 对抗反沙箱程序的方法、装置、计算机设备和存储介质 - Google Patents

对抗反沙箱程序的方法、装置、计算机设备和存储介质 Download PDF

Info

Publication number
CN117235722A
CN117235722A CN202311174248.5A CN202311174248A CN117235722A CN 117235722 A CN117235722 A CN 117235722A CN 202311174248 A CN202311174248 A CN 202311174248A CN 117235722 A CN117235722 A CN 117235722A
Authority
CN
China
Prior art keywords
sandbox
suspicious file
file
information
suspicious
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202311174248.5A
Other languages
English (en)
Inventor
陈爵
桂子霖
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
DBAPPSecurity Co Ltd
Original Assignee
DBAPPSecurity Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by DBAPPSecurity Co Ltd filed Critical DBAPPSecurity Co Ltd
Priority to CN202311174248.5A priority Critical patent/CN117235722A/zh
Publication of CN117235722A publication Critical patent/CN117235722A/zh
Pending legal-status Critical Current

Links

Landscapes

  • Storage Device Security (AREA)

Abstract

本申请涉及一种对抗反沙箱程序的方法、装置、计算机设备、存储介质和计算机程序产品。所述方法包括:基于获取到的可疑文件,利用静态特征匹配所述可疑文件中的反沙箱信息;将所述反沙箱信息发送至沙箱虚拟机内的守护进程,所述守护进程根据所述反沙箱信息调整所述沙箱虚拟机内的环境信息;将所述可疑文件发送至调整后的沙箱虚拟机中,由所述守护进程监测所述可疑文件执行。采用本方法解决了现有技术中恶意软件通过环境信息进行反沙箱反虚拟机降低被检出概率的问题,实现高灵敏高效率地对抗反沙箱程序,提高沙箱虚拟机的检测能力。

Description

对抗反沙箱程序的方法、装置、计算机设备和存储介质
技术领域
本申请涉及沙箱技术领域,特别是涉及一种对抗反沙箱程序的方法、装置、计算机设备、存储介质和计算机程序产品。
背景技术
随着计算机技术的快速发展,计算机网络在人们日常生活和各行各业中的应用越来越广泛。但是,计算机网络也面临着越来越多的安全威胁,这些威胁可能会导致计算机系统和网络受到攻击和破坏。
为了应对这些安全威胁,安全研究人员发明了各种安全技术来保护计算机系统和网络免受攻击。其中,沙箱检测技术是最常用的技术之一。沙箱检测技术是一种通过在隔离的虚拟机环境中运行可疑文件并且监控记录其行为再判断是否恶意的技术。沙箱动态检测技术可以识别新的恶意软件,即使它们尚未被发现或记录在病毒库中。
然而,传统的沙箱检测技术也存在一些缺陷。一些恶意软件可以通过检测沙箱或虚拟机环境中的特定属性来逃避这些技术的检测,而且不同恶意软件的判定条件可能是相背离的,即沙箱虚拟机适配一种反沙箱环境就不再满足另一种反沙箱环境。
发明内容
基于此,有必要针对上述技术问题,提供一种能够使沙箱虚拟机环境可以对抗通过环境信息反沙箱反虚拟机的恶意软件的对抗反沙箱程序的方法、装置、计算机设备、计算机可读存储介质和计算机程序产品。
第一方面,本申请提供了一种对抗反沙箱程序的方法,所述方法包括:
基于获取到的可疑文件,利用静态特征匹配所述可疑文件中的反沙箱信息;
将所述反沙箱信息发送至沙箱虚拟机内的守护进程,所述守护进程根据所述反沙箱信息调整所述沙箱虚拟机内的环境信息;
将所述可疑文件发送至调整后的沙箱虚拟机中,由所述守护进程监测所述可疑文件执行。
在其中一个实施例中,所述利用静态特征匹配所述可疑文件中的反沙箱信息包括:
构建静态特征库,所述静态特征库包括反沙箱程序的特定文件结构、恶意关键字和恶意代码签名;
基于所述静态特征库对所述可疑文件进行静态特征匹配,得到所述可疑文件的反沙箱信息。
在其中一个实施例中,所述对所述可疑文件进行静态特征匹配包括:对所述可疑文件利用模式匹配和/或构建规则引擎的方式与所述静态特征库进行静态特征匹配。
在其中一个实施例中,所述将所述反沙箱信息发送至沙箱虚拟机内的守护进程包括:利用远程过程调用协议,将所述反沙箱信息发送至所述沙箱虚拟机内的守护进程中。
在其中一个实施例中,所述监测所述可疑文件执行包括:
基于所述可疑文件的文件类型,确定所述可疑文件的执行方式执行所述可疑文件,并在执行时在所述守护进程中设置监测记录程序插入所述反沙箱程序中,记录所述可疑文件的可疑恶意行为。
在其中一个实施例中,所述方法还包括:
构建沙箱行为规则库,所述沙箱行为规则库中包括已知的恶意行为规则;
当所述可疑文件执行结束时,将记录的所述可疑恶意行为与所述沙箱行为规则库进行匹配,基于匹配到的所述恶意行为规则的数目和对应的恶意程度值,判断所述可疑文件是否为恶意文件。
第二方面,本申请还提供了一种对抗反沙箱程序的装置。所述装置包括:
可疑文件获取模块,用于基于获取到的可疑文件,利用静态特征匹配所述可疑文件中的反沙箱信息;
反沙箱对抗模块,用于将所述反沙箱信息发送至沙箱虚拟机内的守护进程,所述守护进程根据所述反沙箱信息调整所述沙箱虚拟机内的环境信息;
可疑文件执行模块,用于将所述可疑文件发送至调整后的沙箱虚拟机中,由所述守护进程监测所述可疑文件执行。
第三方面,本申请还提供了一种计算机设备。所述计算机设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现上述第一方面的内容。
第四方面,本申请还提供了一种计算机可读存储介质。所述计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述第一方面的内容。
第五方面,本申请还提供了一种计算机程序产品。所述计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述第一方面的内容。
上述对抗反沙箱程序的方法、装置、计算机设备、存储介质和计算机程序产品,通过基于获取到的可疑文件,利用静态特征匹配所述可疑文件中的反沙箱信息;将所述反沙箱信息发送至沙箱虚拟机内的守护进程,所述守护进程根据所述反沙箱信息调整所述沙箱虚拟机内的环境信息;将所述可疑文件发送至调整后的沙箱虚拟机中,由所述守护进程监测所述可疑文件执行,解决了现有技术中恶意软件通过环境信息进行反沙箱反虚拟机降低被检出概率的问题,实现高灵敏高效率地对抗反沙箱程序,提高沙箱虚拟机的检测能力。
附图说明
图1为一个实施例中对抗反沙箱程序的方法的应用环境图;
图2为一个实施例中对抗反沙箱程序的方法的流程示意图;
图3为一个实施例中S202步骤的流程示意图;
图4为一个实施例中可疑文件判断过程的流程示意图;
图5为一个实施例中对抗反沙箱程序的装置的结构框图;
图6为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
除非另作定义,本申请所涉及的技术术语或者科学术语应当为本申请所属技术领域内具有一般技能的人士所理解的通常意义。本申请所涉及的“一”、“一个”、“一种”、“该”等类似词语并不表示数量限制,可表示单数或复数。本申请所涉及的术语“包括”、“包含”、“具有”以及它们任何变形,意图在于覆盖不排他的包含;例如包含了一系列步骤或模块(单元)的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可以还包括没有列出的步骤或单元,或可以还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。本申请所涉及的“多个”是指两个或两个以上。“和/或”描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。本申请所涉及的术语“第一”、“第二”、“第三”等仅仅是区别类似的对象,不代表针对对象的特定排序。
本申请实施例提供的对抗反沙箱程序的方法,可以应用于如图1所示的应用环境中。其中,沙箱虚拟机终端102通过网络与服务器104进行通信。数据存储系统106可以存储服务器104需要处理的恶意数据。数据存储系统106可以集成在服务器104上,也可以放在云上或其他网络服务器上。
在终端102上,基于获取到的可疑文件,利用静态特征匹配所述可疑文件中的反沙箱信息;将所述反沙箱信息发送至沙箱虚拟机内的守护进程,所述守护进程根据所述反沙箱信息调整所述沙箱虚拟机内的环境信息;将所述可疑文件发送至调整后的沙箱虚拟机中,由所述守护进程监测所述可疑文件执行。
其中,终端102可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑等。服务器104可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
在一个实施例中,如图2所示,提供了一种对抗反沙箱程序的方法,以该方法应用于图1中的终端为例进行说明,包括以下步骤:
S202,基于获取到的可疑文件,利用静态特征匹配所述可疑文件中的反沙箱信息。
其中,静态特征包括文件的代码签名、可以关键字以及文件结构等。恶意文件中可以利用特定的命令、URL或者加密算法等来绕过沙箱检测而不执行可疑文件中的恶意程序,恶意文件还可以利用特定的文件结构漏洞来避免沙箱检测。
S204,将所述反沙箱信息发送至沙箱虚拟机内的守护进程,所述守护进程根据所述反沙箱信息调整所述沙箱虚拟机内的环境信息。
具体地,利用远程过程调用协议,将所述反沙箱信息发送至所述沙箱虚拟机内的守护进程中。守护进程根据反沙箱信息调整沙箱虚拟机内的环境信息。
示例性地,假设存在A、B两个可疑文件样本,它们具有相背离的两种反沙箱能力,A样本在获取桌面分辨率小于800×600不进行恶意攻击,B样本在获取桌面分辨率大于800×600就不进行恶意攻击。在沙箱虚拟机中,若得知可疑文件样本A的反沙箱信息,沙箱虚拟机内的守护进程就会通过win32API调用调整系统桌面的分辨率到800×600以上。
S206,将所述可疑文件发送至调整后的沙箱虚拟机中,由所述守护进程监测所述可疑文件执行。
上述对抗反沙箱程序的方法,通过基于获取到的可疑文件,利用静态特征匹配所述可疑文件中的反沙箱信息;将所述反沙箱信息发送至沙箱虚拟机内的守护进程,所述守护进程根据所述反沙箱信息调整所述沙箱虚拟机内的环境信息;将所述可疑文件发送至调整后的沙箱虚拟机中,由所述守护进程监测所述可疑文件执行,解决了现有技术中恶意软件通过环境信息进行反沙箱反虚拟机降低被检出概率的问题,实现高灵敏高效率地对抗反沙箱程序,提高沙箱虚拟机的检测能力。
在一个实施例中,如图3所示,S202中利用静态特征匹配所述可疑文件中的反沙箱信息,具体包括以下步骤:
S302,构建静态特征库,所述静态特征库包括反沙箱程序的特定文件结构、恶意关键字和恶意代码签名。
S304,基于所述静态特征库对所述可疑文件进行静态特征匹配,得到所述可疑文件的反沙箱信息。
具体地,通过大量收集反沙箱程序的特定文件结构。恶意关键字和恶意代码签名构建静态特征库。对可疑文件利用模式匹配和/或构建规则引擎的方式与所述静态特征库进行静态特征匹配,得到可疑文件的反沙箱信息。
本实施例中,通过构建静态特征库与可疑文件进行静态特征匹配,实现可疑文件中反沙箱信息的准确提取,进一步提高对抗反沙箱程序的可靠性。
在一个实施例中,S206监测所述可疑文件执行,具体包括以下内容:基于所述可疑文件的文件类型,确定所述可疑文件的执行方式执行所述可疑文件,并在执行时在所述守护进程中设置监测记录程序插入所述反沙箱程序中,记录所述可疑文件的可疑恶意行为。
具体地,根据可疑文件的文件类型,确定可疑文件的执行方式执行可疑文件,例如pe文件直接执行,word文件用office打开。守护进程中设置有监测记录程序,在可疑文件执行过程中,反沙箱程序会跳转到守护进程中的监测记录程序上,并在执行完监测记录程序后,跳转回原本的反沙箱程序的中断处继续执行完成反沙箱程序。
在其中一个实施例中,如图4所示,所述方法还包括:
S402,构建沙箱行为规则库,所述沙箱行为规则库中包括已知的恶意行为规则。
S404,当所述可疑文件执行结束时,将记录的所述可疑恶意行为与所述沙箱行为规则库进行匹配,基于匹配到的所述恶意行为规则的数目和对应的恶意程度值,判断所述可疑文件是否为恶意文件。
具体地,将守护进程的监测记录程序中记录到的可以恶意行为与构建的沙箱行为规则库进行匹配,根据匹配到的恶意行为规则的数目和对应的恶意程度值,判断可疑文件是否为恶意文件。在恶意行为规则的数目大于设定阈值和/或恶意程度值高于设定阈值的情况下,可疑文件为恶意文件。
在本实施例中,当执行完可疑文件后,根据可疑文件中匹配到的恶意行为规则的数目和恶意程度值,判断可疑文件是否为恶意文件,实现了恶意文件的快速检验,提高网络安全。
在一个示例实施例中,提供一种通用的对抗反沙箱程序的方法,具体包括以下步骤:
S1,获取可疑文件,利用静态特征库对可疑文件利用模式匹配和/或构建规则引擎的方式进行静态特征匹配得到反沙箱信息。
S2,利用远程过程调用协议RPC(Remote Procedure Call)将反沙箱信息发送至沙箱虚拟机内的守护进程,守护进程根据所述反沙箱信息调整沙箱虚拟机内的环境信息。
S3,将可疑文件发送至调整后的沙箱虚拟机中,由守护进程根据可疑文件的文件类型确定可疑文件的执行方式,并在执行可疑文件时,将守护进程中设置的监测记录程序插入可疑文件的反沙箱程序中,记录可疑文件的可疑恶意行为。守护进程检测可疑文件执行完成退出,或者运行时间超时,就返回记录到的可疑恶意行为。
S4,将记录的可疑恶意行为与沙箱行为规则库进行匹配,根据匹配到的恶意行为规则的数目和对应的恶意程度值,判断可疑文件是否为恶意文件。在恶意行为规则的数目大于设定阈值和/或恶意程度值高于设定阈值的情况下,可疑文件为恶意文件。
应该理解的是,虽然如上所述的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,如上所述的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
基于同样的发明构思,本申请实施例还提供了一种用于实现上述所涉及的对抗反沙箱程序的方法的对抗反沙箱程序的装置。该装置所提供的解决问题的实现方案与上述方法中所记载的实现方案相似,故下面所提供的一个或多个对抗反沙箱程序的装置实施例中的具体限定可以参见上文中对于对抗反沙箱程序的方法的限定,在此不再赘述。
在一个实施例中,如图5所示,提供了一种对抗反沙箱程序的装置,包括:可疑文件获取模块501、反沙箱对抗模块502和可疑文件执行模块503,其中:
可疑文件获取模块501,用于基于获取到的可疑文件,利用静态特征匹配所述可疑文件中的反沙箱信息;
反沙箱对抗模块502,用于将所述反沙箱信息发送至沙箱虚拟机内的守护进程,所述守护进程根据所述反沙箱信息调整所述沙箱虚拟机内的环境信息;
可疑文件执行模块503,用于将所述可疑文件发送至调整后的沙箱虚拟机中,由所述守护进程监测所述可疑文件执行。
在其中一个实施例中,可疑文件获取模块501还用于:
构建静态特征库,所述静态特征库包括反沙箱程序的特定文件结构、恶意关键字和恶意代码签名;基于所述静态特征库对所述可疑文件进行静态特征匹配,得到所述可疑文件的反沙箱信息。
在其中一个实施例中,可疑文件获取模块501还用于:对所述可疑文件利用模式匹配和/或构建规则引擎的方式与所述静态特征库进行静态特征匹配。
在其中一个实施例中,反沙箱对抗模块502还用于:利用远程过程调用协议,将所述反沙箱信息发送至所述沙箱虚拟机内的守护进程中。
在其中一个实施例中,可疑文件执行模块503还用于:基于所述可疑文件的文件类型,确定所述可疑文件的执行方式执行所述反沙箱程序,并在执行时在所述守护进程中设置监测记录程序插入所述反沙箱程序中,记录所述可疑文件的可疑恶意行为。
在其中一个实施例中,可疑文件执行模块503还用于:构建沙箱行为规则库,所述沙箱行为规则库中包括已知的恶意行为规则;当所述可疑文件执行结束时,将记录的所述可疑恶意行为与所述沙箱行为规则库进行匹配,基于匹配到的所述恶意行为规则的数目和对应的恶意程度值,判断所述可疑文件是否为恶意文件。
上述对抗反沙箱程序的装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是终端,其内部结构图可以如图6所示。该计算机设备包括处理器、存储器、输入/输出接口、通信接口、显示单元和输入装置。其中,处理器、存储器和输入/输出接口通过系统总线连接,通信接口、显示单元和输入装置通过输入/输出接口连接到系统总线。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质和内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的输入/输出接口用于处理器与外部设备之间交换信息。该计算机设备的通信接口用于与外部的终端进行有线或无线方式的通信,无线方式可通过WIFI、移动蜂窝网络、NFC(近场通信)或其他技术实现。该计算机程序被处理器执行时以实现一种对抗反沙箱程序的方法。该计算机设备的显示单元用于形成视觉可见的画面,可以是显示屏、投影装置或虚拟现实成像装置。显示屏可以是液晶显示屏或者电子墨水显示屏,该计算机设备的输入装置可以是显示屏上覆盖的触摸层,也可以是计算机设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
本领域技术人员可以理解,图6中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现以下步骤:
步骤1:基于获取到的可疑文件,利用静态特征匹配所述可疑文件中的反沙箱信息。
步骤2:将所述反沙箱信息发送至沙箱虚拟机内的守护进程,所述守护进程根据所述反沙箱信息调整所述沙箱虚拟机内的环境信息。
步骤3:将所述可疑文件发送至调整后的沙箱虚拟机中,由所述守护进程监测所述可疑文件执行。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
构建静态特征库,所述静态特征库包括反沙箱程序的特定文件结构、恶意关键字和恶意代码签名;基于所述静态特征库对所述可疑文件进行静态特征匹配,得到所述可疑文件的反沙箱信息。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:对所述可疑文件利用模式匹配和/或构建规则引擎的方式与所述静态特征库进行静态特征匹配。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:利用远程过程调用协议,将所述反沙箱信息发送至所述沙箱虚拟机内的守护进程中。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:基于所述可疑文件的文件类型,确定所述可疑文件的执行方式执行所述反沙箱程序,并在执行时在所述守护进程中设置监测记录程序插入所述反沙箱程序中,记录所述可疑文件的可疑恶意行为。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:构建沙箱行为规则库,所述沙箱行为规则库中包括已知的恶意行为规则;当所述可疑文件执行结束时,将记录的所述可疑恶意行为与所述沙箱行为规则库进行匹配,基于匹配到的所述恶意行为规则的数目和对应的恶意程度值,判断所述可疑文件是否为恶意文件。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述各实施例中所述方法的步骤。
在一个实施例中,提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述各实施例中所述方法的步骤。
需要说明的是,本申请所涉及的数据(包括但不限于用于分析的数据、存储的数据、展示的数据等),均为经用户授权或者经过各方充分授权的信息和数据,且相关数据的收集、使用和处理需要遵守相关国家和地区的相关法律法规和标准。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-OnlyMemory,ROM)、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器(ReRAM)、磁变存储器(Magnetoresistive Random Access Memory,MRAM)、铁电存储器(Ferroelectric Random Access Memory,FRAM)、相变存储器(Phase Change Memory,PCM)、石墨烯存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器等。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic RandomAccess Memory,DRAM)等。本申请所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等,不限于此。本申请所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等,不限于此。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请的保护范围应以所附权利要求为准。

Claims (10)

1.一种对抗反沙箱程序的方法,其特征在于,所述方法包括:
基于获取到的可疑文件,利用静态特征匹配所述可疑文件中的反沙箱信息;
将所述反沙箱信息发送至沙箱虚拟机内的守护进程,所述守护进程根据所述反沙箱信息调整所述沙箱虚拟机内的环境信息;
将所述可疑文件发送至调整后的沙箱虚拟机中,由所述守护进程监测所述可疑文件执行。
2.根据权利要求1所述的对抗反沙箱程序的方法,其特征在于,所述利用静态特征匹配所述可疑文件中的反沙箱信息包括:
构建静态特征库,所述静态特征库包括反沙箱程序的特定文件结构、恶意关键字和恶意代码签名;
基于所述静态特征库对所述可疑文件进行静态特征匹配,得到所述可疑文件的反沙箱信息。
3.根据权利要求2所述的对抗反沙箱程序的方法,其特征在于,所述对所述可疑文件进行静态特征匹配包括:对所述可疑文件利用模式匹配和/或构建规则引擎的方式与所述静态特征库进行静态特征匹配。
4.根据权利要求1所述的对抗反沙箱程序的方法,其特征在于,所述将所述反沙箱信息发送至沙箱虚拟机内的守护进程包括:利用远程过程调用协议,将所述反沙箱信息发送至所述沙箱虚拟机内的守护进程中。
5.根据权利要求1所述的对抗反沙箱程序的方法,其特征在于,所述监测所述可疑文件执行包括:
基于所述可疑文件的文件类型,确定所述可疑文件的执行方式执行所述可疑文件,并在执行时在所述守护进程中设置监测记录程序插入所述反沙箱程序中,记录所述可疑文件的可疑恶意行为。
6.根据权利要求5所述的对抗反沙箱程序的方法,其特征在于,所述方法还包括:
构建沙箱行为规则库,所述沙箱行为规则库中包括已知的恶意行为规则;
当所述可疑文件执行结束时,将记录的所述可疑恶意行为与所述沙箱行为规则库进行匹配,基于匹配到的所述恶意行为规则的数目和对应的恶意程度值,判断所述可疑文件是否为恶意文件。
7.一种对抗反沙箱程序的装置,其特征在于,所述装置包括:
可疑文件获取模块,用于基于获取到的可疑文件,利用静态特征匹配所述可疑文件中的反沙箱信息;
反沙箱对抗模块,用于将所述反沙箱信息发送至沙箱虚拟机内的守护进程,所述守护进程根据所述反沙箱信息调整所述沙箱虚拟机内的环境信息;
可疑文件执行模块,用于将所述可疑文件发送至调整后的沙箱虚拟机中,由所述守护进程监测所述可疑文件执行。
8.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至6中任一项所述的方法的步骤。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至6中任一项所述的方法的步骤。
10.一种计算机程序产品,包括计算机程序,其特征在于,该计算机程序被处理器执行时实现权利要求1至6中任一项所述的方法的步骤。
CN202311174248.5A 2023-09-12 2023-09-12 对抗反沙箱程序的方法、装置、计算机设备和存储介质 Pending CN117235722A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311174248.5A CN117235722A (zh) 2023-09-12 2023-09-12 对抗反沙箱程序的方法、装置、计算机设备和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311174248.5A CN117235722A (zh) 2023-09-12 2023-09-12 对抗反沙箱程序的方法、装置、计算机设备和存储介质

Publications (1)

Publication Number Publication Date
CN117235722A true CN117235722A (zh) 2023-12-15

Family

ID=89096018

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311174248.5A Pending CN117235722A (zh) 2023-09-12 2023-09-12 对抗反沙箱程序的方法、装置、计算机设备和存储介质

Country Status (1)

Country Link
CN (1) CN117235722A (zh)

Similar Documents

Publication Publication Date Title
US11216555B2 (en) System and method of providing a set of convolutions to a computing device for detecting anomalous events
CN104866770B (zh) 敏感数据扫描方法和系统
US20130276116A1 (en) Environmental imaging
CN112287339B (zh) Apt入侵检测方法、装置以及计算机设备
CN114826727B (zh) 流量数据采集方法、装置、计算机设备、存储介质
CN117235722A (zh) 对抗反沙箱程序的方法、装置、计算机设备和存储介质
CN114268481A (zh) 内网终端违规外联信息处理方法、装置、设备和介质
CN114826726B (zh) 网络资产脆弱性检测方法、装置、计算机设备和存储介质
CN113139179A (zh) 基于web攻击的分析方法及装置
CN116401667B (zh) 基于cnn-gru的安卓恶意软件检测方法及装置
EP3462354B1 (en) System and method for detection of anomalous events based on popularity of their convolutions
CN117034283A (zh) 容器风险检测方法、装置、设备、介质和程序产品
CN118199996A (zh) 攻击检测方法、装置、计算机设备和存储介质
CN117118727A (zh) 命令注入攻击检测方法、装置、计算机设备和存储介质
CN117217760A (zh) 一种异常资源转移数据的检测方法、装置、计算机设备
CN116915438A (zh) 文件检测方法、装置、设备、存储介质和程序产品
CN117131488A (zh) 人脸识别攻击的预警方法、装置、计算机设备、存储介质
CN117081826A (zh) 一种异常业务验证方法、装置、计算机设备
CN117319007A (zh) 告警结果的修正方法、装置、计算机设备和存储介质
CN117424689A (zh) 安全防护方法、装置、计算机设备和存储介质
CN117118740A (zh) 网络安全分析方法、装置、通信设备及存储介质
CN116955751A (zh) 爬虫识别方法、装置、计算机设备和存储介质
CN116707998A (zh) 网络攻击的映射方法、计算机设备和存储介质
CN118133331A (zh) 芯片存储数据的隐私保护方法、装置和计算机设备
CN117914537A (zh) 恶意节点识别方法、装置、计算机设备和存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination