一种沙箱分析方法、装置、电子设备及存储介质制造方法及图纸

本发明专利技术实施例公开一种沙箱分析方法、装置、电子设备及存储介质，涉及信息安全技术领域，能够大大减少样本逃避检测的几率，有效提升沙箱检测能力。所述方法包括：运行输入沙箱的程序样本并监测所述程序样本运行中是否存在创建定时任务的操作；在所述程序样本运行中存在创建定时任务的操作的情况下，触发创建的所述定时任务提前执行。本发明专利技术可用于沙箱分析中。

A Sandbox Analysis Method, Device, Electronic Equipment and Storage Media

The embodiment of the invention discloses a sandbox analysis method, device, electronic equipment and storage medium, which relates to the field of information security technology, can greatly reduce the probability of sample evasion detection, and effectively improve the sandbox detection ability. The method includes: running the program sample of the input sandbox and monitoring whether the operation of creating a timing task exists in the operation of the program sample; triggering the operation of creating a timing task to execute ahead of time when there is an operation of creating a timing task in the operation of the program sample. The invention can be used in sandbox analysis.

【技术实现步骤摘要】
一种沙箱分析方法、装置、电子设备及存储介质
本专利技术涉及互联网
，尤其涉及一种沙箱分析方法、装置、电子设备及存储介质。
技术介绍
沙箱是一种按照安全策略限制程序行为的执行环境，可以用于测试可疑软件等，运行所产生的变化可以随后删除。通过在沙箱环境中运行程序，可以检测程序中是否存在恶意行为，当发现程序中存在恶意行为时可以发出告警。目前的沙箱检测中，对于程序样本分析的时长有一个最大值限制，比如分析时长最大为十分钟，如果样本在十分钟后没有运行结束，那么沙箱系统会强制结束分析。恶意软件的常常利用这种分析时长的限制，通过创建定时任务，使自身或者自身的某些关键行为在一定时间后(比如十分钟)再执行，以便逃避沙箱的检测。
技术实现思路
有鉴于此，本专利技术实施例提供一种沙箱分析方法、装置、电子设备及存储介质，能够大大减少样本逃避检测的几率，有效提升沙箱检测能力。第一方面，本专利技术实施例提供一种沙箱分析方法，包括：运行输入沙箱的程序样本并监测所述程序样本运行中是否存在创建定时任务的操作；在所述程序样本运行中存在创建定时任务的操作的情况下，触发创建的所述定时任务提前执行。结合第一方面，在第一方面的第本文档来自技高网...

【技术保护点】
1.一种沙箱分析方法，其特征在于，包括：运行输入沙箱的程序样本并监测所述程序样本运行中是否存在创建定时任务的操作；在所述程序样本运行中存在创建定时任务的操作的情况下，触发创建的所述定时任务提前执行。

【技术特征摘要】
1.一种沙箱分析方法，其特征在于，包括：运行输入沙箱的程序样本并监测所述程序样本运行中是否存在创建定时任务的操作；在所述程序样本运行中存在创建定时任务的操作的情况下，触发创建的所述定时任务提前执行。2.根据权利要求1所述的方法，其特征在于，所述监测所述程序样本运行中是否存在创建定时任务的操作包括：监测所述程序样本对预设API函数和/或预设系统命令的调用；根据监测到的调用情况，确定所述程序样本运行中是否存在创建定时任务的操作。3.根据权利要求2所述的方法，其特征在于，所述监测所述程序样本对预设API函数和/或预设系统命令的调用包括：通过对所述预设API函数注册的监测函数，监测所述程序样本对所述预设API函数的调用；所述根据监测到的调用情况，确定所述程序样本运行中是否存在创建定时任务的操作包括：在所述监测函数被调用的情况下，确定所述程序样本运行中存在创建定时任务的操作。4.根据权利要求2所述的方法，其特征在于，所述监测所述程序样本对预设API函数和/或预设系统命令的调用包括：通过对预设系统命令的衍生进程的监测，监测所述程序样本对所述预设系统命令的调用；所述根据监测到的调用情况，确定所述程序样本运行中是否存在创建定时任务的操作包括：在所述衍生进程中包括创建定时任务的命令的情况下，确定所述程序样本运行中存在创建定时任务的操作。5.根据权利要求1所述的方法，其特征在于，所述在所述程序样本运行中存在创建定时任务的操作的情况下，触发创建的所述定时任务提前执行包括：在所述程序样本运行中存在创建定时任务的操作的情况下，直接调用实现所述定时任务的API函数，以触发所述定时任务提前执行，或者修改所述定时任务的定时参数，以触发所述定时任务提前执行，或者向所述定时任务发送模拟触发信号，以触发所述定时任务提前执行，或者修改系统时间，以触发所述定时任务提前执行。6.一种沙箱分析装置，其特征在于，包括：监测单元，运行输入沙箱的程序样本并监测所述程序样本运行中是否存在创建定时任务的操作；触发单元，用于在所述监测单元监测到...

【专利技术属性】
技术研发人员：李林哲，王永亮，孙博轩，关墨辰，王小丰，肖新光，
申请(专利权)人：北京安天网络安全技术有限公司，
类型：发明
国别省市：北京,11