一种文件检测方法和文件检测装置制造方法及图纸

本发明专利技术公开一种文件检测方法及文件检测装置，所述方法包括：启动进入沙箱模式；在所述沙箱模式下获取文件样本；对所述文件样本进行符号执行，同时监测所述符号执行中生成的输入数据以及对应的所述文件样本的路径约束；在根据所生成的输入数据确定遍历了所述文件样本的所有路径约束时，退出所述沙箱模式。根据本发明专利技术的实施例的文件检测方法，可以在遍历了文件样本的所有路径约束时退出沙箱模式，因此在最大化截获文件样本的行为的同时确保了沙箱结束的时机。

A Document Detection Method and Document Detection Device

The invention discloses a document detection method and a document detection device. The method includes: starting into sandbox mode; acquiring file samples in the sandbox mode; performing symbol execution of the file samples, and monitoring the input data generated in the symbol execution and the corresponding path constraints of the file samples; and determining traversal according to the generated input data. When all path constraints of the file sample are specified, the sandbox mode is withdrawn. The file detection method according to the embodiment of the present invention can exit the sandbox mode when traversing all path constraints of the file sample, thus ensuring the sandbox end time while maximizing the behavior of intercepting the file sample.

【技术实现步骤摘要】
一种文件检测方法和文件检测装置
本申请实施例涉及智能设备领域，特别涉及一种文件检测方法和文件检测装置。
技术介绍
Sandbox(沙箱技术)技术广泛应用于恶意代码分析、主动防御等领域，它的原理是通过Hook(截获)等手段虚拟一个完整的运行环境，供未知行为的可执行文件运行，其运行的行为不会对真实的操作系统产生任何改变。通常，沙箱技术的典型运行逻辑为：1)启动沙箱运行。2)启动样本运行，并设置一个定时器，沙箱开始截获样本的行为。3)定时器被触发，终止沙箱运行，并清理沙箱运行痕迹。从上述的运行逻辑可知，一个样本运行的生命周期是固定的，沙箱在样本的运行过程中对样本本身进行的行为只是截获，而不会进行干预。因此这种沙箱运行模式会造成如下问题：1)如果沙箱提供的虚拟环境没有满足样本的某些运行要求，则该样本可能会终止某些功能的触发，甚至直接退出。2)如果预设的定时器被触发，而样本当前正在运行，则该样本会被强制终止运行，如此一来会使沙箱的截获行为不能完成。申请内容本申请提供了一种文件检测方法和文件检测装置，能够更有效地确保文件样本的检测及运行正常。为了解决上述技术问题，本申请实施例提供了一种文件检测方法，包括：启动进入沙箱模式；在所述沙箱模式下获取文件样本；对所述文件样本进行符号执行，同时监测所述符号执行操作中生成的输入数据及对应的所述文件样本的路径约束；在根据所生成的所述输入数据确定遍历了所述文件样本的所有路径约束时，退出所述沙箱模式。作为优选，所述监测所述符号执行中生成的输入数据以及对应的所述文件样本的路径约束，包括：将所述符号执行中生成的输入数据以及对应的所述文件样本的路径约束存储在数据库中；所述方法还包括：利用所述输入数据对所述数据库中存储的所述文件样本的所有路径约束进行反向求解。作为优选，还包括：将求解出的对应于网络应用程序接口的值输入到所述网络应用程序接口。作为优选，所述监测对应的所述文件样本的路径约束，包括：利用图形用户界面模块中的事件分发器监测交互记录；所述方法还包括：根据所述交互记录进行反向求解。作为优选，还包括：响应所述文件样本的检测进程而进行模拟执行；基于所述符号执行和所述模拟执行来确定所述文件样本所需的运行环境。本申请实施例同时提供一种文件检测装置，包括：沙箱模块，用于启动进入沙箱模式；检测模块，用于在所述沙箱模式下获取文件样本；符号执行模块，用于由所述检测模块调用而对所述文件样本进行符号执行，同时监测所述符号执行中生成的输入数据以及对应的所述文件样本的路径约束；所述沙箱模块还用于在确定遍历了所述文件样本的所有路径约束时，退出所述沙箱模式。作为优选，所述符号执行模块具体用于将所述符号执行中生成的输入数据以及对应的所述文件样本的路径约束存储在数据库中；并且利用所述输入数据对所述数据库中存储的所述文件样本的所有路径约束进行反向求解。作为优选，所述符号执行模块还用于将求解出的对应于网络应用程序接口的值输入到所述网络应用程序接口。作为优选，所述符号执行模块具体用于利用图形用户界面模块中的事件分发器监测交互记录；并且根据所述交互记录进行反向求解。作为优选，还包括：模拟执行模块，用于响应所述文件样本的检测进程而进行模拟执行；所述检测模块还基于所述符号执行和所述模拟执行来确定所述文件样本所需的运行环境。基于上述实施例的公开可以获知，本申请实施例具备如下的有益效果：根据本专利技术的实施例的文件检测方法，可以在遍历了文件样本的所有路径约束时退出沙箱模式，因此在最大化截获文件样本的行为的同时确保了沙箱结束的时机，更有效地进行了文件样本的检测。附图说明图1为根据本专利技术的实施例的文件检测方法的示意流程图。图2为根据本专利技术另一实施例的文件检测装置的示意框图。图3为根据本专利技术另一实施例的文件检测方法的示意流程图。图4为根据本专利技术另一实施例的文件检测方法的示意流程图。图5为根据本专利技术另一实施例的文件检测方法的示意流程图。具体实施方式下面，结合附图对本申请的具体实施例进行详细的描述，但不作为本申请的限定。应理解的是，可以对此处公开的实施例做出各种修改。因此，下述说明书不应该视为限制，而仅是作为实施例的范例。本领域的技术人员将想到在本公开的范围和精神内的其他修改。包含在说明书中并构成说明书的一部分的附图示出了本公开的实施例，并且与上面给出的对本公开的大致描述以及下面给出的对实施例的详细描述一起用于解释本公开的原理。通过下面参照附图对给定为非限制性实例的实施例的优选形式的描述，本申请的这些和其它特性将会变得显而易见。还应当理解，尽管已经参照一些具体实例对本申请进行了描述，但本领域技术人员能够确定地实现本申请的很多其它等效形式，它们具有如权利要求所述的特征并因此都位于借此所限定的保护范围内。当结合附图时，鉴于以下详细说明，本公开的上述和其他方面、特征和优势将变得更为显而易见。此后参照附图描述本公开的具体实施例；然而，应当理解，所公开的实施例仅仅是本公开的实例，其可采用多种方式实施。熟知和/或重复的功能和结构并未详细描述以避免不必要或多余的细节使得本公开模糊不清。因此，本文所公开的具体的结构性和功能性细节并非意在限定，而是仅仅作为权利要求的基础和代表性基础用于教导本领域技术人员以实质上任意合适的详细结构多样地使用本公开。本说明书可使用词组“在一种实施例中”、“在另一个实施例中”、“在又一实施例中”或“在其他实施例中”，其均可指代根据本公开的相同或不同实施例中的一个或多个。下面，结合附图详细的说明本申请实施例。图1示出了根据本专利技术的实施例的文件检测方法。图1的文件检测方法包括：S101：启动进入沙箱模式；S102：在沙箱模式下获取文件样本；S103：对文件样本进行符号执行，同时监测符号执行中生成的输入数据以及对应的文件样本的路径约束；S104：在根据所生成的输入数据确定遍历了文件样本的所有路径约束时，退出沙箱模式。具体而言，在本实施例的文件检测方法中，沙箱模式可以为虚拟机的工作模式，也可以为开启了沙箱应用程序的模式。文件样本可以是与网络连接的文件，也可以是脱机的文件。在沙箱模式下获取文件样本，可以为沙箱模块将文件样本读取到数据库中，然后检测模块从数据库中获取文件样本进行检测。符号执行例如由检测模块进行，检测模块还可以同时进行诸如APIHOOK的模拟执行，例如，将APIHOOK与符号执行同时进行以最大可能地截获文件样本的行为；也可以单独地执行符号执行，本专利技术对此不作限定。根据本专利技术的实施例的文件检测方法，可以在遍历了文件样本的所有路径约束时退出沙箱模式，因此在最大化截获文件样本的行为的同时确保了沙箱结束的时机，更有效地进行了文件样本的检测。换句话说，通过符号执行，该样本的所以路径都可以被覆盖，该样本的行为可以被最大化的截获。此外，符号执行是一种虚拟的执行，无需模拟特定的沙箱环境，减少了大量的配置操作，通过符号执行技术，沙箱可能得到该样本所需要的环境，并模拟提供。在根据本专利技术的实施例的文件检测方法中，监测符号执行中生成的输入数据以及对应的文件样本的路径约束，包括：将符号执行中生成的输入数据以及对应的文件样本的路径约束存储在数据库中；该方法还包括：利用输入数据对数据库中存储的文件样本的所有路径约束进行反向求解。根据本专利技术的实施例本文档来自技高网...

【技术保护点】
1.一种文件检测方法，其特征在于，包括：启动进入沙箱模式；在所述沙箱模式下获取文件样本；对所述文件样本进行符号执行，同时监测所述符号执行操作中生成的输入数据及对应的所述文件样本的路径约束；在根据所生成的所述输入数据确定遍历了所述文件样本的所有路径约束时，退出所述沙箱模式。

【技术特征摘要】
1.一种文件检测方法，其特征在于，包括：启动进入沙箱模式；在所述沙箱模式下获取文件样本；对所述文件样本进行符号执行，同时监测所述符号执行操作中生成的输入数据及对应的所述文件样本的路径约束；在根据所生成的所述输入数据确定遍历了所述文件样本的所有路径约束时，退出所述沙箱模式。2.根据权利要求1所述的检测方法，其特征在于，所述监测所述符号执行中生成的输入数据以及对应的所述文件样本的路径约束，包括：将所述符号执行中生成的输入数据以及对应的所述文件样本的路径约束存储在数据库中；所述方法还包括：利用所述输入数据对所述数据库中存储的所述文件样本的所有路径约束进行反向求解。3.根据权利要求2所述的检测方法，其特征在于，还包括：将求解出的对应于网络应用程序接口的值输入到所述网络应用程序接口。4.根据权利要求1所述的检测方法，其特征在于，所述监测对应的所述文件样本的路径约束，包括：利用图形用户界面模块中的事件分发器监测交互记录；所述方法还包括：根据所述交互记录进行反向求解。5.根据权利要求1所述的检测方法，其特征在于，还包括：响应所述文件样本的检测进程而进行模拟执行；基于所述符号执行和所述模拟执行来确定所述文件样本所需的运行环境。6....

【专利技术属性】
技术研发人员：樊兴华，
申请(专利权)人：北京微步在线科技有限公司，
类型：发明
国别省市：北京,11