The invention discloses a document detection method and a document detection device. The method includes: starting into sandbox mode; acquiring file samples in the sandbox mode; performing symbol execution of the file samples, and monitoring the input data generated in the symbol execution and the corresponding path constraints of the file samples; and determining traversal according to the generated input data. When all path constraints of the file sample are specified, the sandbox mode is withdrawn. The file detection method according to the embodiment of the present invention can exit the sandbox mode when traversing all path constraints of the file sample, thus ensuring the sandbox end time while maximizing the behavior of intercepting the file sample.
【技术实现步骤摘要】
一种文件检测方法和文件检测装置
本申请实施例涉及智能设备领域,特别涉及一种文件检测方法和文件检测装置。
技术介绍
Sandbox(沙箱技术)技术广泛应用于恶意代码分析、主动防御等领域,它的原理是通过Hook(截获)等手段虚拟一个完整的运行环境,供未知行为的可执行文件运行,其运行的行为不会对真实的操作系统产生任何改变。通常,沙箱技术的典型运行逻辑为:1)启动沙箱运行。2)启动样本运行,并设置一个定时器,沙箱开始截获样本的行为。3)定时器被触发,终止沙箱运行,并清理沙箱运行痕迹。从上述的运行逻辑可知,一个样本运行的生命周期是固定的,沙箱在样本的运行过程中对样本本身进行的行为只是截获,而不会进行干预。因此这种沙箱运行模式会造成如下问题:1)如果沙箱提供的虚拟环境没有满足样本的某些运行要求,则该样本可能会终止某些功能的触发,甚至直接退出。2)如果预设的定时器被触发,而样本当前正在运行,则该样本会被强制终止运行,如此一来会使沙箱的截获行为不能完成。申请内容本申请提供了一种文件检测方法和文件检测装置,能够更有效地确保文件样本的检测及运行正常。为了解决上述技术问题,本申请实施例提供了一种文件检测方法,包括:启动进入沙箱模式;在所述沙箱模式下获取文件样本;对所述文件样本进行符号执行,同时监测所述符号执行操作中生成的输入数据及对应的所述文件样本的路径约束;在根据所生成的所述输入数据确定遍历了所述文件样本的所有路径约束时,退出所述沙箱模式。作为优选,所述监测所述符号执行中生成的输入数据以及对应的所述文件样本的路径约束,包括:将所述符号执行中生成的输入数据以及对应的所述文件样本 ...
【技术保护点】
1.一种文件检测方法,其特征在于,包括:启动进入沙箱模式;在所述沙箱模式下获取文件样本;对所述文件样本进行符号执行,同时监测所述符号执行操作中生成的输入数据及对应的所述文件样本的路径约束;在根据所生成的所述输入数据确定遍历了所述文件样本的所有路径约束时,退出所述沙箱模式。
【技术特征摘要】
1.一种文件检测方法,其特征在于,包括:启动进入沙箱模式;在所述沙箱模式下获取文件样本;对所述文件样本进行符号执行,同时监测所述符号执行操作中生成的输入数据及对应的所述文件样本的路径约束;在根据所生成的所述输入数据确定遍历了所述文件样本的所有路径约束时,退出所述沙箱模式。2.根据权利要求1所述的检测方法,其特征在于,所述监测所述符号执行中生成的输入数据以及对应的所述文件样本的路径约束,包括:将所述符号执行中生成的输入数据以及对应的所述文件样本的路径约束存储在数据库中;所述方法还包括:利用所述输入数据对所述数据库中存储的所述文件样本的所有路径约束进行反向求解。3.根据权利要求2所述的检测方法,其特征在于,还包括:将求解出的对应于网络应用程序接口的值输入到所述网络应用程序接口。4.根据权利要求1所述的检测方法,其特征在于,所述监测对应的所述文件样本的路径约束,包括:利用图形用户界面模块中的事件分发器监测交互记录;所述方法还包括:根据所述交互记录进行反向求解。5.根据权利要求1所述的检测方法,其特征在于,还包括:响应所述文件样本的检测进程而进行模拟执行;基于所述符号执行和所述模拟执行来确定所述文件样本所需的运行环境。6....
【专利技术属性】
技术研发人员:樊兴华,
申请(专利权)人:北京微步在线科技有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。