应用程序沙箱反逃逸方法和电子设备技术

本发明专利技术公开了一种应用程序沙箱反逃逸方法和电子设备，其中所述方法包括：获取来自可疑程序的API调用；判断所述API调用是否为预定API调用；如是，则拦截预定API调用，并向该API调用返回一个伪造的API返回值，以过滤该可疑程序对沙箱环境的检测行为。本发明专利技术便可绕过可疑程序对该虚拟环境进行侦测和保证改可疑程序的正常执行，并通过伪造的返回值使可疑程序执行真正的恶意功能，以便对恶意样本进行更详细的分析，从而产出更多的威胁情报、提升恶意样本的检测能力，从而帮助企业识别该恶意程序和并且帮助分析人员更便捷的理解样本的行为。

Application Sandbox Anti-Escape Method and Electronic Equipment

The invention discloses an application sandbox anti-escape method and an electronic device. The method includes: acquiring API calls from suspicious programs; judging whether the API calls are scheduled API calls; if so, intercepting the scheduled API calls and returning a forged API return value to the API calls to filter the suspicious program's detection behavior to the sandbox environment. The invention can bypass the suspicious program to detect the virtual environment and ensure the normal execution of the modified suspicious program, and make the suspicious program perform real malicious functions by forged return value, so as to carry out more detailed analysis of malicious samples, thereby producing more threat intelligence, improving the detection ability of malicious samples, thereby helping enterprises identify the malicious program and help them. Help analysts understand sample behavior more easily.

【技术实现步骤摘要】
应用程序沙箱反逃逸方法和电子设备
本专利技术涉及计算机安全
，特别涉及一种应用程序沙箱反逃逸方法和电子设备。
技术介绍
应用程序沙箱是一种按照安全策略限制程序行为的执行环境。早期主要用于测试可疑软件等，比如黑客们为了试用某种病毒或者不安全产品，往往可以将它们在沙箱环境中运行。经典的沙箱系统的实现途径一般是通过拦截系统调用，监视程序行为，然后依据用户定义的策略来控制和限制程序对计算机资源的使用，比如改写注册表，读写磁盘等。现有的沙箱反逃逸技术普遍的在应用层做拦截和通过修改已知特征的方式一对一的针对每一种逃逸技术做对应的处理，既费时覆盖范围有窄。
技术实现思路
有鉴于现有的沙箱反逃逸技术既费时覆盖范围有窄的问题，本专利技术提供了一种应用程序沙箱反逃逸方法和电子设备。为了解决上述技术问题，本专利技术实施例提供了如下的技术方案。一种应用程序沙箱反逃逸方法，其包括：获取来自可疑程序的API调用；判断所述API调用是否为预定API调用；如是，则拦截该API调用，并向该API调用返回一个伪造的API返回值，以过滤该可疑程序对沙箱环境的检测行为。优选地，如果所述API调用为非预定API调用，则执行所述API调用并返回正常的API返回值。优选地，所述预定API调用包括用于实现以下功能的API中的一个或多个：打开相关注册表路径过滤、查询注册表过滤、重命名注册表过滤、替换注册表键过滤、修改注册表过滤、打开文件过滤、查询窗口过滤、查找窗口扩展函数过滤、打开注册表键过滤、打开进程过滤、查找进程过滤、打开互斥过滤、查询文件属性过滤、打开文件过滤、查询系统信息过滤、查询进程相关信息过滤、查询文件和目录过滤、查询文件卷信息过滤、向指定设备发送控制码获取信息过滤、打开指定驱动的符号链接过滤。优选地，所述预定API调用为系统API调用。优选地，所述判断所述API调用是否为预定API调用；如是，则拦截该API调用，并向该API调用返回一个伪造的API返回值包括：判断所述API调用用于查询磁盘容量的预定API调用；如是，则返回一伪造的磁盘容量值。另外，本专利技术实施例还提供了一种电子设备，该电子设备可以应用如上述实施例所述的一种应用程序沙箱反逃逸方法，并且所述电子设备包括：处理器，其配置为获取来自可疑程序的API调用，并判断所述API调用是否为预定API调用；如是，则拦截该API调用，并向该API调用返回一个伪造的API返回值，以过滤该可疑程序对沙箱环境的检测行为。优选地，所述处理器还配置为如果所述API调用为非预定API调用，则执行所述API调用并返回正常的API返回值。优选地，所述预定API调用包括用于实现以下功能的API中的一个或多个：打开相关注册表路径过滤、查询注册表过滤、重命名注册表过滤、替换注册表键过滤、修改注册表过滤、打开文件过滤、查询窗口过滤、查找窗口扩展函数过滤、打开注册表键过滤、打开进程过滤、查找进程过滤、打开互斥过滤、查询文件属性过滤、打开文件过滤、查询系统信息过滤、查询进程相关信息过滤、查询文件和目录过滤、查询文件卷信息过滤、向指定设备发送控制码获取信息过滤、打开指定驱动的符号链接过滤。优选地，所述预定API调用为系统API调用。优选地，所述处理器判断所述API调用是否为预定API调用；如是，则拦截该API调用，并向该API调用返回一个伪造的API返回值包括：判断所述API调用用于查询磁盘容量的预定API调用；如是，则返回一伪造的磁盘容量值。基于上述公开可以获知，本专利技术实施例具有如下的有益效果：本专利技术实施例便可绕过可疑程序对该虚拟环境进行侦测和保证该可疑程序的正常执行，并通过伪造的返回值使可疑程序执行真正的恶意功能，以便对恶意样本进行更详细的分析，从而产出更多的威胁情报、提升恶意样本的检测能力，从而帮助企业识别该恶意程序和并且帮助分析人员更便捷的理解样本的行为。附图说明图1为本专利技术实施例中的一种应用程序沙箱反逃逸方法的原理流程图；图2为本专利技术实施例中的一种应用程序沙箱发逃逸方法的原理说明；图3为本专利技术实施例中的一种电子设备的原理结构图。具体实施方式为使本领域技术人员更好的理解本专利技术的技术方案，下面结合附图和具体实施方式对本专利技术作详细说明。请参考图1和图2，图1为本专利技术实施例中的一种应用程序沙箱反逃逸方法的原理流程图，图2为本专利技术实施例中的一种应用程序沙箱发逃逸方法的原理说明。其中，本专利技术实施例可以通过对系统的关键API进行挂钩，来过滤掉一些程序对沙箱环境的检测行为。当在虚拟环境中执行可疑程序的时候，本专利技术首先获取可疑程序所调用的API信息，然后根据该API信息判断是普通API调用还是系统关键API调用。如果是普通API调用，则不进行过滤；如果是系统关键API调用，则向其返回一个伪造的返回值，而实际上将其拦截过滤，这样，便可绕过可疑程序对该虚拟环境进行侦测和保证该可疑程序的正常执行，并通过伪造的返回值使可疑程序执行真正的恶意功能，以便对恶意样本进行更详细的分析，从而产出更多的威胁情报、提升恶意样本的检测能力，从而帮助企业识别该恶意程序和并且帮助分析人员更便捷的理解样本的行为。下面通过一个实施例，对本专利技术的原理进行示意性说明。如图1所示，本专利技术实施例中的应用程序沙箱反逃逸方法可以包括：获取来自可疑程序的API调用；判断所述API调用是否为预定API调用；如是，则拦截该API调用，并向该API调用返回一个伪造的API返回值，以过滤该可疑程序对沙箱环境的检测行为；如果所述API调用为非预定API调用，则执行所述API调用并返回正常的API返回值。例如，当砂箱中的可疑程序试图查询沙箱系统磁盘的大小时，如果原本虚拟环境的磁盘大小为40GB，则本专利技术将该API拦截下来，并向其返回一个伪造或虚假的返回值106GB,这样就可以绕过可疑程序对非正常磁盘的检查，并保证该可疑程序的正常执行。其中，本专利技术中涉及到的系统关键API至少包括如下表所示的API。API名称过滤功能NtCreateKey打开相关注册表路径过滤NtQueryValueKey查询注册表过滤NtRenameKey重命名注册表过滤NtReplaceKey替换注册表键过滤NtSetValueKey修改注册表过滤NtCreateFile打开文件过滤NtUserQueryWindow查询窗口过滤NtUserFindWindowEx查找窗口扩展函数过滤NtOpenKey打开注册表键过滤NtOpenProcess打开进程过滤NtGetNextProcess查找进程过滤NtCreateMutant打开互斥过滤NtQueryAttributesFile查询文件属性过滤NtOpenFile打开文件过滤NtQuerySystemInformation查询系统信息过滤NtQueryProcessInformation查询进程相关信息过滤NtQueryDirectoryFile查询文件和目录过滤NtQueryVolumeInformationFile查询文件卷信息过滤NtDeviceIoControlFile向指定设备发送控制码获取信息过滤NtCreateSymbolicLinkObject打开指定驱动的符号链接过滤由于采用了上述技术方案，本专利技术实施例可有效提升沙箱的反侦测能力，通过本方法可以对一本文档来自技高网...

【技术保护点】
1.一种应用程序沙箱反逃逸方法，其包括：获取来自可疑程序的API调用；判断所述API调用是否为预定API调用；如是，则拦截该API调用，并向该API调用返回一个伪造的API返回值，以过滤该可疑程序对沙箱环境的检测行为。

【技术特征摘要】
1.一种应用程序沙箱反逃逸方法，其包括：获取来自可疑程序的API调用；判断所述API调用是否为预定API调用；如是，则拦截该API调用，并向该API调用返回一个伪造的API返回值，以过滤该可疑程序对沙箱环境的检测行为。2.根据权利要求1所述的方法，其中，如果所述API调用为非预定API调用，则执行所述API调用并返回正常的API返回值。3.根据权利要求1所述的应方法，其中，所述预定API调用包括用于实现以下功能的API中的一个或多个：打开相关注册表路径过滤、查询注册表过滤、重命名注册表过滤、替换注册表键过滤、修改注册表过滤、打开文件过滤、查询窗口过滤、查找窗口扩展函数过滤、打开注册表键过滤、打开进程过滤、查找进程过滤、打开互斥过滤、查询文件属性过滤、打开文件过滤、查询系统信息过滤、查询进程相关信息过滤、查询文件和目录过滤、查询文件卷信息过滤、向指定设备发送控制码获取信息过滤、打开指定驱动的符号链接过滤。4.根据权利要求1所述的方法，其中，所述预定API调用为系统API调用。5.根据权利要求1所述的方法，其中，所述判断所述API调用是否为预定API调用；如是，则拦截该API调用，并向该API调用返回一个伪造的API返回值包括：判断所述API调用用于查询磁盘容量的预定API调用；如是，则返回一伪造的磁盘容量值。6.一种电子设备，其应用如权利要求1-5中任意一项所述的一种应...

【专利技术属性】
技术研发人员：张海东，
申请(专利权)人：北京微步在线科技有限公司，
类型：发明
国别省市：北京,11