一种描述文件在沙箱中运行轨迹图的方法技术

本发明专利技术涉及恶意代码检测领域，旨在提供一种描述文件在沙箱中运行轨迹图的方法。该种描述文件在沙箱中运行轨迹图的方法包括步骤：将文件置于沙箱中进行检测，将HOOK到的行为、检测到的异常行为抓取下来，并保存运行过程中释放的文件；分析HOOK到的行为，确认是否有风险；静态扫描释放的文件，区分是否安全；将检测到的风险和提取出的行为进行关联，将上述行为按照所在进程进行分类，并将同一进程产生的行为进行排序，依次描述该进程的行为及其相关进程，形成运行轨迹图。本发明专利技术能够清晰直观的看到文件在沙箱中运行的轨迹，可以快速理清进程之间的关系，每个进程的具体行为以及产生恶意行为的具体进程。

【技术实现步骤摘要】
一种描述文件在沙箱中运行轨迹图的方法
本专利技术是关于恶意代码检测领域，特别涉及一种描述文件在沙箱中运行轨迹图的方法。
技术介绍
近年来，人们越来越多地使用沙箱来对可疑文件进行动态检测。通过可疑文件在虚拟机中运行，并使用APIHOOK等方法有效抓取样本在运行过程中的行为，通过这些行为判断被检测的可疑文件使用是恶意文件。最后通过沙箱报告等形式展现文件检测结果。在使用沙箱对可疑文件进行检测后，如何展现文件在沙箱中的运行情况，最常用的是将文件的基本信息、可疑行为、进程创建的行为、网络行为、文件行为、注册表行为、截屏信息等通过沙箱报告的形式展现出来。但这样展现文件运行轨迹不够直观，所以需要使用图的形式将这些行为进行展现。
技术实现思路
本专利技术的主要目的在于克服现有技术中的不足，提供一种通过描述样本在沙箱中运行轨迹图，以更直观展现文件行为的方法。为解决上述技术问题，本专利技术的解决方案是：提供一种描述文件在沙箱中运行轨迹图的方法，包括下述步骤：步骤A：将文件置于沙箱中进行检测，同时进行APIHOOK，将HOOK到的行为、检测到的异常行为抓取下来，同时保存运行过程中释放的文件，并记录释放的文件在本文档来自技高网...

【技术保护点】
一种描述文件在沙箱中运行轨迹图的方法，其特征在于，包括下述步骤：步骤A：将文件置于沙箱中进行检测，同时进行API HOOK，将HOOK到的行为、检测到的异常行为抓取下来，同时保存运行过程中释放的文件，并记录释放的文件在虚拟机上完整路径和产生方式；所述HOOK到的行为是记录文件在沙箱中运行时，产生调用API函数的时间、参数、返回值和调用的进程；所述检测到的异常行为是指样本在沙箱运行过程中存在的对抗行为，包括躲避沙箱检测、注入系统进程和破坏系统正常运行；所述释放的文件是指沙箱运行文件时产生的中间文件、创建的新文件、从网络下载的文件、修改的文件和删除的文件；步骤B：分析HOOK到的行为，对每个API...

【技术特征摘要】
1.一种描述文件在沙箱中运行轨迹图的方法，其特征在于，包括下述步骤：步骤A：将文件置于沙箱中进行检测，同时进行APIHOOK，将HOOK到的行为、检测到的异常行为抓取下来，同时保存运行过程中释放的文件，并记录释放的文件在虚拟机上完整路径和产生方式；所述HOOK到的行为是记录文件在沙箱中运行时，产生调用API函数的时间、参数、返回值和调用的进程；所述检测到的异常行为是指样本在沙箱运行过程中存在的对抗行为，包括躲避沙箱检测、注入系统进程和破坏系统正常运行；所述释放的文件是指沙箱运行文件时产生的中间文件、创建的新文件、从网络下载的文件、修改的文件和删除的文件；步骤B：分析HOOK到的行为，对每个API函数调用的参数、返回值以及数个API之间的关系进行联合检测，确认是否有风险，并保存检测到的风险的名称、相关的API信息、风险的描述、产生风险的进程和产生风险时的时间；步骤C：对步骤A中保存下来的释放的文件进行静态扫描，区分安全的文件和不安全的文件，并保存不安全文件的详细信息；步骤D：从HOOK到的行为中提取出进程行为、注册表行为、网络行为、服务创建行为；所述进程行为包括父子进程的创建关系、远程线程注入的进程和APC线程注入的进程；所述注册表行为包括新增注册表、修改注册表和删除注册表；所述网络行为包括DNS解析的域名，TCP/UDP连接的IP、端口、接收发送的数据量以及是否成功，以及HTTP访问的IP、域名、URL、接收发送的数据、是否发送成功；所述服务创建行为包括创建的服务、启动的...

【专利技术属性】
技术研发人员：沈伟，范渊，李凯，莫金友，
申请(专利权)人：杭州安恒信息技术有限公司，
类型：发明
国别省市：浙江,33