The invention discloses an application sandbox anti-escape method and an electronic device. The method includes: acquiring API calls from suspicious programs; judging whether the API calls are scheduled API calls; if so, intercepting the scheduled API calls and returning a forged API return value to the API calls to filter the suspicious program's detection behavior to the sandbox environment. The invention can bypass the suspicious program to detect the virtual environment and ensure the normal execution of the modified suspicious program, and make the suspicious program perform real malicious functions by forged return value, so as to carry out more detailed analysis of malicious samples, thereby producing more threat intelligence, improving the detection ability of malicious samples, thereby helping enterprises identify the malicious program and help them. Help analysts understand sample behavior more easily.
【技术实现步骤摘要】
应用程序沙箱反逃逸方法和电子设备
本专利技术涉及计算机安全
,特别涉及一种应用程序沙箱反逃逸方法和电子设备。
技术介绍
应用程序沙箱是一种按照安全策略限制程序行为的执行环境。早期主要用于测试可疑软件等,比如黑客们为了试用某种病毒或者不安全产品,往往可以将它们在沙箱环境中运行。经典的沙箱系统的实现途径一般是通过拦截系统调用,监视程序行为,然后依据用户定义的策略来控制和限制程序对计算机资源的使用,比如改写注册表,读写磁盘等。现有的沙箱反逃逸技术普遍的在应用层做拦截和通过修改已知特征的方式一对一的针对每一种逃逸技术做对应的处理,既费时覆盖范围有窄。
技术实现思路
有鉴于现有的沙箱反逃逸技术既费时覆盖范围有窄的问题,本专利技术提供了一种应用程序沙箱反逃逸方法和电子设备。为了解决上述技术问题,本专利技术实施例提供了如下的技术方案。一种应用程序沙箱反逃逸方法,其包括:获取来自可疑程序的API调用;判断所述API调用是否为预定API调用;如是,则拦截该API调用,并向该API调用返回一个伪造的API返回值,以过滤该可疑程序对沙箱环境的检测行为。优选地,如果所述API调用为非预定API调用,则执行所述API调用并返回正常的API返回值。优选地,所述预定API调用包括用于实现以下功能的API中的一个或多个:打开相关注册表路径过滤、查询注册表过滤、重命名注册表过滤、替换注册表键过滤、修改注册表过滤、打开文件过滤、查询窗口过滤、查找窗口扩展函数过滤、打开注册表键过滤、打开进程过滤、查找进程过滤、打开互斥过滤、查询文件属性过滤、打开文件过滤、查询系统信息过滤、查询进程相关信息过 ...
【技术保护点】
1.一种应用程序沙箱反逃逸方法,其包括:获取来自可疑程序的API调用;判断所述API调用是否为预定API调用;如是,则拦截该API调用,并向该API调用返回一个伪造的API返回值,以过滤该可疑程序对沙箱环境的检测行为。
【技术特征摘要】
1.一种应用程序沙箱反逃逸方法,其包括:获取来自可疑程序的API调用;判断所述API调用是否为预定API调用;如是,则拦截该API调用,并向该API调用返回一个伪造的API返回值,以过滤该可疑程序对沙箱环境的检测行为。2.根据权利要求1所述的方法,其中,如果所述API调用为非预定API调用,则执行所述API调用并返回正常的API返回值。3.根据权利要求1所述的应方法,其中,所述预定API调用包括用于实现以下功能的API中的一个或多个:打开相关注册表路径过滤、查询注册表过滤、重命名注册表过滤、替换注册表键过滤、修改注册表过滤、打开文件过滤、查询窗口过滤、查找窗口扩展函数过滤、打开注册表键过滤、打开进程过滤、查找进程过滤、打开互斥过滤、查询文件属性过滤、打开文件过滤、查询系统信息过滤、查询进程相关信息过滤、查询文件和目录过滤、查询文件卷信息过滤、向指定设备发送控制码获取信息过滤、打开指定驱动的符号链接过滤。4.根据权利要求1所述的方法,其中,所述预定API调用为系统API调用。5.根据权利要求1所述的方法,其中,所述判断所述API调用是否为预定API调用;如是,则拦截该API调用,并向该API调用返回一个伪造的API返回值包括:判断所述API调用用于查询磁盘容量的预定API调用;如是,则返回一伪造的磁盘容量值。6.一种电子设备,其应用如权利要求1-5中任意一项所述的一种应...
【专利技术属性】
技术研发人员:张海东,
申请(专利权)人:北京微步在线科技有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。