本发明专利技术提供了一种沙箱报告过滤方法和装置,所述方法包括以下步骤:在预设操作环境下运行样本文件;获取运行该样本文件时产生的第一信息;基于预设准则对所述第一信息进行过滤处理,形成第二信息;基于所述第二信息形成分析报告。本发明专利技术可以解决现有技术会漏掉一些操作系统自身的网络信息,也会误拦截一些样本本身的网络信息的问题。
Sandbox Report Filtration Method and Device
The invention provides a sandbox report filtering method and device, which comprises the following steps: running a sample file in a preset operating environment; obtaining the first information generated when running the sample file; filtering the first information based on preset criteria to form a second information; and forming an analysis report based on the second information. The invention can solve the problem that some network information of the operating system itself can be omitted by the existing technology, and some network information of the sample itself can be intercepted by mistake.
【技术实现步骤摘要】
沙箱报告过滤方法和装置
本专利技术涉及恶意软件分析领域,特别涉及一种沙箱报告过滤方法和装置。
技术介绍
沙箱系统即自动化恶意软件分析系统,目前主要用于分析Windows平台下的恶意软件,但其框架同时支持Linux和MacOS。它能够跟踪恶意软件进程及其产生的所有进程的win32API调用记录;检测恶意软件的文件创建、删除和下载;能够获取恶意软件进程的内存镜像;能够获取系统全部内存镜像,方便其他工具进行进一步分析;能够以pacp格式抓取网络数据;能够抓取恶意软件运行时的截图。沙箱系统工作原理如下:当把一个样本文件提交到沙箱系统时,沙箱系统首先会利用虚拟机软件启动一个事先设置的真实的Windows系统环境,然后把样本文件放入其中并让其运行。在样本文件运行过程中,沙箱系统会利用事先布置好的各种系统探针来获取样本文件的各种操作信息。在分析结束的时候沙箱系统会回收这些信息并整理成为一个可读的分析报告。最后会把这份分析报告进行存储。沙箱系统在分析样本文件的过程中产生的网络信息,这其中包含沙箱系统所使用的操作系统本身产生的网络信息和样本文件在运行时产生的网络信息。这两部分网络信息通常是杂糅在一起的,并且会被存储在原始分析报告之中。这其中沙箱系统所使用的操作系统产生的网络信息,它会干扰到后续的分析工作。现有技术通常是使用一些技术手段在样本文件执行过程中尽量拦截掉操作系统本身的行为信息,不让这部分操作系统本身的行为信息写入到分析报告之中。从中可以发下现有技术的实现难度大,而且效果不好,通常会漏掉一些操作系统自身的网络信息,也会误拦截一些样本本身的网络信息。
技术实现思路
有鉴于上述技术问题,本专利技术提供了一种沙箱报告过滤方法和装置,包括以下步骤:一种沙箱报告过滤方法,其包括:在预设操作环境下运行样本文件;获取运行该样本文件时产生的第一信息;基于预设准则对所述第一信息进行过滤处理,形成第二信息;基于所述第二信息形成分析报告。在一优选实施例中,在预设操作环境下运行样本文件之前还包括:获取样本文件。在一优选实施例中,获取运行该样本文件时产生的第一信息包括下述至少一种:获取运行所述样本文件时产生API调用记录、截图揭记录以及网络数据记录;检测运行所述样本文件时文件的删除记录、新建记录和下载记录;获取样本文件的内存镜像;获取运行样本文件时系统全部内存镜像。在一优选实施例中,基于预设准则对所述第一信息进行过滤处理,形成第二信息包括:获取所述样本文件运行过程中的行为信息;过滤所述行为信息中由于操作系统自身的网络行为信息;基于保留的由于样本文件产生的网络行为信息形成第二信息。在一优选实施例中,所述方法还包括:在满足预设条件时,存储所述分析报告。在一优选实施例中,在满足预设条件时,存储所述分析报告包括:判断所述分析报告的容量是否小于预设阈值;如是,则存储所述分析报告。在一优选实施例中,在所述分析报告的容量大于预设阈值时,则删除其中的无用数据再进行存储。本专利技术实施例还提供了一种沙箱报告过滤装置,其包括:处理器,其配置为在预设操作环境下运行样本文件,并获取运行该样本文件时产生的第一信息;以及基于预设准则对所述第一信息进行过滤处理,形成第二信息,并基于所述第二信息形成分析报告。在一优选实施例中,所述处理器进一步配置为在预设操作环境下运行样本文件,并获取运行该样本文件时产生的第一信息;以及基于预设准则对所述第一信息进行过滤处理,形成第二信息,并基于所述第二信息形成分析报告。在一优选实施例中,所述处理器进一步配置为获取运行该样本文件时产生的第一信息包括下述至少一种:获取运行所述样本文件时产生API调用记录、截图揭记录以及网络数据记录;检测运行所述样本文件时文件的删除记录、新建记录和下载记录;获取样本文件的内存镜像;获取运行样本文件时系统全部内存镜像。采用本专利技术的实施例,可在沙箱系统启动的虚拟机Windows操作系统去分析样本文件时,过滤掉这些操作系统自身的行为,从而针对沙箱系统在分析样本文件时虚拟机Windows操作系统产生的无用信息进行删除,以解决现有技术会漏掉一些操作系统自身的网络信息,也会误拦截一些样本本身的网络信息的问题。附图说明图1为本专利技术实施例中的沙箱报告过滤方法的原理流程图;图2为本专利技术实施例中的沙箱报告过滤装置的原理结构图。具体实施方式下面,结合附图对本专利技术的具体实施例进行详细的描述,但不作为本专利技术的限定。应理解的是,可以对此处公开的实施例做出各种修改。因此,上述说明书不应该视为限制,而仅是作为实施例的范例。本领域的技术人员将想到在本公开的范围和精神内的其他修改。包含在说明书中并构成说明书的一部分的附图示出了本公开的实施例,并且与上面给出的对本公开的大致描述以及下面给出的对实施例的详细描述一起用于解释本公开的原理。通过下面参照附图对给定为非限制性实例的实施例的优选形式的描述,本专利技术的这些和其它特性将会变得显而易见。还应当理解,尽管已经参照一些具体实例对本专利技术进行了描述,但本领域技术人员能够确定地实现本专利技术的很多其它等效形式,它们具有如权利要求所述的特征并因此都位于借此所限定的保护范围内。当结合附图时,鉴于以下详细说明,本公开的上述和其他方面、特征和优势将变得更为显而易见。此后参照附图描述本公开的具体实施例;然而,应当理解,所公开的实施例仅仅是本公开的实例,其可采用多种方式实施。熟知和/或重复的功能和结构并未详细描述以避免不必要或多余的细节使得本公开模糊不清。因此,本文所公开的具体的结构性和功能性细节并非意在限定,而是仅仅作为权利要求的基础和代表性基础用于教导本领域技术人员以实质上任意合适的详细结构多样地使用本公开。本说明书可使用词组“在一种实施例中”、“在另一个实施例中”、“在又一实施例中”或“在其他实施例中”,其均可指代根据本公开的相同或不同实施例中的一个或多个。下面,结合附图详细的说明本专利技术实施例,本专利技术实施例提供了一种沙箱报告过滤方法。其中,沙箱系统在分析样本文件的过程中会产生网络信息,这其中包含沙箱系统所使用的操作系统本身产生的网络信息和样本文件在运行时产生的网络信息。这两部分网络信息通常是杂糅在一起的。通过本专利技术实施例可以在已经收集到的网络行为信息里面剔除掉不需要的操作系统的网络行为信息,只保留样本文件所产生的网络行为信息,从而既能保证分析报告的有效性,同时删除了其中的无用数据。如图1所示为本专利技术实施例中的沙箱报告过滤方法的原理流程图,其中可以包括:在预设操作环境下运行样本文件;获取运行该样本文件时产生的第一信息;基于预设准则对所述第一信息进行过滤处理,形成第二信息;基于所述第二信息形成分析报告。本专利技术实施例中,样本文件可以是任意的程序文件,如测试程序,或者其他的程序文件等,通过沙箱测试可以获取针对该文件的分析报告。具体的,沙箱在获取样本文件后,可以对应的在预设操作环境下运行该样本文件。例如,本专利技术实施例中的预设操作环境可以为windows操作环境,或者也可以为android环境、Linux和MacOS环境等,在此不作为本专利技术实施例的限制,其可以是任意操作环境。另外,在预设操作环境下运行样本文件之前还可以包括:获取样本文件。其中获取样本文件的方式可以包括获取来自其他设备的样本文件,其中该样本文件中可以包括文件类型的标本文档来自技高网...
【技术保护点】
1.一种沙箱报告过滤方法,其特征在于,包括:在预设操作环境下运行样本文件;获取运行该样本文件时产生的第一信息;基于预设准则对所述第一信息进行过滤处理,形成第二信息;基于所述第二信息形成分析报告。
【技术特征摘要】
1.一种沙箱报告过滤方法,其特征在于,包括:在预设操作环境下运行样本文件;获取运行该样本文件时产生的第一信息;基于预设准则对所述第一信息进行过滤处理,形成第二信息;基于所述第二信息形成分析报告。2.根据权利要求1所述的方法,其中,在预设操作环境下运行样本文件之前还包括:获取样本文件。3.根据权利要求1所述的方法,其中,获取运行该样本文件时产生的第一信息包括下述至少一种:获取运行所述样本文件时产生API调用记录、截图揭记录以及网络数据记录;检测运行所述样本文件时文件的删除记录、新建记录和下载记录;获取样本文件的内存镜像;获取运行样本文件时系统全部内存镜像。4.根据权利要求1所述的方法,其中,基于预设准则对所述第一信息进行过滤处理,形成第二信息包括:获取所述样本文件运行过程中的行为信息;过滤所述行为信息中由于操作系统自身的网络行为信息;基于保留的由于样本文件产生的网络行为信息形成第二信息。5.根据权利要求1所述的方法,其中,所述方法还包括:在满足预设条件时,存储所述分析报告。6.根据权利要求5所述的方法,其中,在满足...
【专利技术属性】
技术研发人员:杨晋,
申请(专利权)人:北京微步在线科技有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。