基于修改沙箱环境防止恶意代码识别沙箱的方法及系统技术方案

本发明专利技术提出了基于修改沙箱环境防止恶意代码识别沙箱的方法及系统，通过获取用于检测沙箱环境的关键识别点，所述关键识别点包括系统信息、硬件信息及应用信息；并根据已知实体计算机的信息，修改或删除所述关键识别点后，再运行恶意代码样本，触发恶意代码。该方法能有效防止恶意代码探测识别出所在环境为沙箱，不进行代码的触发，无法进行代码的检测和监控的问题。通过在恶意代码样本运行前修改沙箱的环境，使恶意代码无法识别到沙箱，进行正常的运行，便于监测。

【技术实现步骤摘要】

本专利技术涉及计算机网络安全领域，特别涉及一种基于修改沙箱环境防止恶意代码识别沙箱的方法及系统。
技术介绍
随着计算机技术的发展与普及，计算机应用已经全面渗透到人们的工作与生活中，成为人们不可缺少的重要工具和家庭娱乐设备。随着计算机的广泛使用同时也会产生相应的计算机安全问题。面对金钱的诱惑，一些黑客会利用计算机安全漏洞，通过相应的恶意程序对用户的计算机信息进行窃取并对计算机系统进行破坏，给广大计算机用户造成了巨大的经济损失。为了检测相关的恶意程序，计算机安全研究人员开发了相应的查毒杀毒工具。但是随着识别沙箱环境的技术日益成熟，则恶意程序会多条件判断识别样本是否运行在沙箱环境下，从而躲避查杀工具的检测。在沙箱环境下，样本中相关的恶意代码则不执行，其主要目的就是为了防止恶意代码在沙箱环境下被自动化分析及给安全研究人员分析恶意代码带来一定干扰。目前对于反虚拟机与反虚拟机技术的对抗提升，检测虚拟机的各种特征技术早已成熟。对于现在流行的修改虚拟机特征参数为固定值躲避识别的方法，随着一段时间的攻与防对抗，这些固定值会被黑客获取到，同时作为识别虚拟机的一直手段，恶意程序则会很容易检测其在虚拟机环境下运行。
技术实现思路
基于上述问题，本专利技术提出了一种基于修改沙箱环境防止恶意代码识别沙箱的方法，利用样本运行前通过修改沙箱环境的方式就解决了恶意代码样本对沙箱环境的检测，从而避免了对沙箱的识别。一种基于修改沙箱环境防止恶意代码识别沙箱的方法，包括：获取用于检测沙箱环境的关键识别点，所述关键识别点包括系统信息、硬件信息及应用信息；根据已知实体计算机的信息，修改或删除所述关键识别点；运行恶意代码样本，触发恶意代码。所述的方法中，所述系统信息包括：系统用户名、操作系统ID、沙箱受限环境下注册表中用来识别沙箱的虚拟机信息参数及沙箱受限环境下的开发环境进程。所述沙箱受限环境即沙箱所在的环境，如果沙箱被装载在物理机上，则物理机为沙箱的受限环境，如果沙箱被装载在虚拟机上，则虚拟机为沙箱的受限环境。所述的方法中，所述硬件信息包括：BIOS信息、设备映射信息、网卡的mac地址及CPU名称和数量。所述的方法中，所述应用信息包括：恶意代码样本路径信息。所述的方法中，所述根据已知实体计算机的信息，修改或删除所述关键识别点具体为：删除沙箱受限环境下注册表中用来识别沙箱的虚拟机信息参数或将其他的系统信息、硬件信息及应用信息替换为已知实体计算机的对应信息。一种基于修改沙箱环境防止恶意代码识别沙箱的系统，包括：识别点获取模块，用于获取用于检测沙箱环境的关键识别点，所述关键识别点包括系统信息、硬件信息及应用信息；信息修改模块，用于根据已知实体计算机的信息，修改或删除所述关键识别点；运行模块，用于运行恶意代码样本，触发恶意代码。所述的系统中，所述系统信息包括：系统用户名、操作系统ID、沙箱受限环境下注册表中用来识别沙箱的虚拟机信息参数及沙箱受限环境下的开发环境进程。所述的系统中，所述硬件信息包括：BIOS信息、设备映射信息、网卡的mac地址及CPU名称和数量。所述的系统中，所述应用信息包括：恶意代码样本路径信息。所述的系统中，所述信息修改模块根据已知实体计算机的信息，修改或删除所述关键识别点具体为：删除沙箱受限环境下注册表中用来识别沙箱的虚拟机信息参数或将其他的系统信息、硬件信息及应用信息替换为已知实体计算机的对应信息。本专利技术的优势在于，在恶意代码样本运行前修改了沙箱环境下能够用来检测沙箱的信息，使得恶意代码样本无法识别所在环境为沙箱，进而触发本身的恶意行为。本专利技术提出了一种基于修改沙箱环境防止恶意代码识别沙箱的方法及系统，通过获取用于检测沙箱环境的关键识别点，所述关键识别点包括系统信息、硬件信息及应用信息；并根据已知实体计算机的信息，修改或删除所述关键识别点后，再运行恶意代码样本，触发恶意代码。该方法能有效防止恶意代码探测识别出所在环境为沙箱，不进行代码的触发，无法进行代码的检测和监控的问题。通过在恶意代码样本运行前修改沙箱的环境，使恶意代码无法识别到沙箱，进行正常的运行，便于监测。附图说明为了更清楚地说明本专利技术或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为一种基于修改沙箱环境防治恶意代码识别沙箱的方法实施例流程图；图2为一种基于修改沙箱环境防治恶意代码识别沙箱的系统实施例结构示意图。具体实施方式为了使本
的人员更好地理解本专利技术实施例中的技术方案，并使本专利技术的上述目的、特征和优点能够更加明显易懂，下面结合附图对本专利技术中技术方案作进一步详细的说明。本专利技术提出了一种基于修改沙箱环境防止恶意代码识别沙箱的方法，利用样本运行前通过修改沙箱环境的方式解决了恶意代码样本对沙箱环境的检测，从而避免了对沙箱的识别。一种基于修改沙箱环境防止恶意代码识别沙箱的方法，如图1所示，包括：S101：获取用于检测沙箱环境的关键识别点，所述关键识别点包括系统信息、硬件信息及应用信息；S102：根据已知实体计算机的信息，修改或删除所述关键识别点；已知实体计算机的信息可以为当前主流计算机的信息；S103：运行恶意代码样本，触发恶意代码。所述的方法中，所述系统信息包括：系统用户名、操作系统ID、沙箱受限环境下注册表中用来识别沙箱的虚拟机信息参数及沙箱受限环境下的开发环境进程。所述沙箱受限环境即沙箱所在的环境，如果沙箱被装载在物理机上，则物理机为沙箱的受限环境，如果沙箱被装载在虚拟机上，则虚拟机为沙箱的受限环境。所述的方法中，所述硬件信息包括：BIOS信息、设备映射信息、网卡的mac地址及CPU名称和数量。所述的方法中，所述应用信息包括：恶意代码样本路径信息。所述的方法中，所述根据已知实体计算机的信息，修改或删除所述关键识别点具体为：删除沙箱受限环境下注册表中用来识别沙箱的虚拟机信息参数或将其他的系统信息、硬件信息及应用信息替换为已知实体计算机的对应信息。对修改或删除所述关键识别点举例来说：在系统信息方面包括：获取系统用户名，修改所述系统用户名为已知实体计算机的用户名；或获取操作系统ID，修改所述操作系统ID为已知实体计算机的操作系统ID；或删除沙箱受限环境下注册表中用来识别沙箱的虚拟机信息参数，如：SOFTWARE\\\\Oracle\\\\VirtualBoxGuestAdditions或SOFTWARE\\\\VMware,Inc.\\\\VMwareTools；或判断沙箱受限环境下的开发环境进程是否存在python.exe进程，如果是则关闭所述进程。在硬件信息方面包括：获取BIOS相关信息，修改所述BIOS信息为已知实本文档来自技高网...

【技术保护点】
一种基于修改沙箱环境防止恶意代码识别沙箱的方法，其特征在于，包括：获取用于检测沙箱环境的关键识别点，所述关键识别点包括系统信息、硬件信息及应用信息；根据已知实体计算机的信息，修改或删除所述关键识别点；运行恶意代码样本，触发恶意代码。

【技术特征摘要】
1.一种基于修改沙箱环境防止恶意代码识别沙箱的方法，其特征在于，包括：
获取用于检测沙箱环境的关键识别点，所述关键识别点包括系统信息、硬件信息及应用信息；
根据已知实体计算机的信息，修改或删除所述关键识别点；
运行恶意代码样本，触发恶意代码。
2.如权利要求1所述的方法，其特征在于，所述系统信息包括：系统用户名、操作系统ID、沙箱受限环境下注册表中用来识别沙箱的虚拟机信息参数及沙箱受限环境下的开发环境进程。
3.如权利要求1所述的方法，其特征在于，所述硬件信息包括：BIOS信息、设备映射信息、网卡的mac地址及CPU名称和数量。
4.如权利要求1所述的方法，其特征在于，所述应用信息包括：恶意代码样本路径信息。
5.如权利要求2或3或4所述的方法，其特征在于，所述根据已知实体计算机的信息，修改或删除所述关键识别点具体为：删除沙箱受限环境下注册表中用来识别沙箱的虚拟机信息参数或将其他的系统信息、硬件信息及应用信息替换为已知实体计算机的对应信息。
6.一种基于修改沙箱环境防止恶意代码...

【专利技术属性】
技术研发人员：康学斌，杨帅，肖新光，
申请(专利权)人：哈尔滨安天科技股份有限公司，
类型：发明
国别省市：黑龙江;23