配置用于恶意件测试的沙箱环境制造技术

本发明专利技术的各实施方式总体上涉及配置用于恶意件测试的沙箱环境。具体地，设备可以接收要在沙箱环境中分析的文件，并且可以确定用于配置沙箱环境的配置信息。配置信息可以基于以下项中的至少一项来确定：与待分析的文件相关联的文件信息，或者与文件所针对的客户端设备相关联的客户端设备信息。设备可以使用配置信息来配置沙箱环境。配置信息可以标识用于沙箱环境的系统配置。基于使用配置信息来配置沙箱环境，设备可以在沙箱环境中分析文件。

【技术实现步骤摘要】
配置用于恶意件测试的沙箱环境分案申请说明本申请是申请日为2015年7月29日、申请号为201510454389.1、名称为“配置用于恶意件测试的沙箱环境”的中国专利技术专利申请的分案申请。
本专利技术的各实施方式总体上涉及计算机领域，具体地涉及配置用于恶意件测试的沙箱环境。
技术介绍
恶意软件(“恶意件”)可以指代用于破坏计算机操作、收集敏感信息、取得访问私人计算机系统等的任何软件。恶意件可以指代各种类型的敌意或侵入软件，包括计算机病毒、蠕虫、特洛伊木马、勒索软件、间谍软件、广告软件、伪安全软件、或其它恶意软件。沙箱环境可以指代其可以用于针对恶意件进行测试的计算环境。例如，沙箱环境可以用于执行未经测试的代码、不受信任的软件(例如，来自未经验证的第三方)等。沙箱环境可以提供用于执行软件程序的严密控制的资源集，而不许可软件程序损害托管沙箱环境的设备。例如，沙箱环境可以限制向软件程序提供的访问(例如，可以限制网络访问、监测主机系统的访问、读和/或写访问等)以阻止对主机设备的损害。
技术实现思路
设备可以接收要在沙箱环境中分析的文件，并且可以确定用于配置沙箱环境的配置信息。配置信息可以基于以下项中的至少一项来确定：与待分析的文件相关联的文件信息，或者与文件所针对的客户端设备相关联的客户端设备信息。设备可以使用配置信息来配置沙箱环境。配置信息可以标识用于沙箱环境的系统配置。基于使用配置信息来配置沙箱环境，设备可以在沙箱环境中分析文件。本专利技术的一方面涉及一种设备，包括：用于接收要在沙箱环境中分析的文件的装置；用于确定用于配置所述沙箱环境的配置信息的装置，所述配置信息基于以下项中的至少一项来确定：与待分析的所述文件相关联的文件信息，或者与所述文件所针对的客户端设备相关联的客户端设备信息；用于使用所述配置信息来配置所述沙箱环境的装置，所述配置信息标识用于所述沙箱环境的系统配置；以及用于基于使用所述配置信息来配置所述沙箱环境来在所述沙箱环境中分析所述文件的装置。在一个示例性实施方式中，所述设备进一步包括：用于分析所述文件以确定所述文件信息的装置；以及其中用于确定所述配置信息的装置包括：用于基于分析所述文件以确定所述文件信息而使用所述文件信息来确定所述配置信息的装置。在一个示例性实施方式中，其中所述文件信息标识以下项中的至少一项：能够在其上执行所述文件的操作系统，或者能够执行所述文件的应用；其中用于确定所述配置信息的装置包括：用于基于所述操作系统或所述应用来确定所述配置信息的装置；以及其中用于配置所述沙箱环境的装置包括：用于配置所述沙箱环境以包括所述操作系统或所述应用的装置。在一个示例性实施方式中，所述设备进一步包括：用于接收所述客户端设备信息的装置；以及其中用于确定所述配置信息的装置包括：用于基于接收所述客户端设备信息而使用所述客户端设备信息来确定所述配置信息的装置。在一个示例性实施方式中，其中所述客户端设备信息标识以下项中的至少一项：在所述客户端设备上执行的操作系统，或者在所述客户端设备上安装的应用；其中用于确定所述配置信息的装置包括：用于基于所述操作系统或所述应用来确定所述配置信息的装置；以及其中用于配置所述沙箱环境的装置包括：用于配置所述沙箱环境以包括所述操作系统或所述应用的装置。在一个示例性实施方式中，其中用于确定所述配置信息的装置包括：用于基于所述文件信息和所述客户端设备信息来确定所述配置信息的装置。在一个示例性实施方式中，其中用于确定所述配置信息的装置包括：用于检测在基于所述文件信息标识的第一配置信息和基于所述客户端设备信息标识的第二配置信息之间的冲突的装置；用于基于检测所述冲突来选择所述第一配置信息或所述第二配置信息的装置；以及用于基于选择所述第一配置信息或所述第二配置信息来确定所述配置信息的装置。在一个示例性实施方式中，所述设备进一步包括：用于确定当使用所述配置信息来配置时所述沙箱环境会将所述文件标识为恶意件的第一似然的装置；用于确定当使用其他配置信息来配置时所述沙箱环境会将所述文件标识为恶意件的第二似然的装置；用于基于所述第一似然和所述第二似然来选择所述配置信息的装置；以及其中用于使用所述配置信息来配置所述沙箱环境的装置包括：用于基于选择所述系统配置来配置所述沙箱环境的装置。计算机可读介质可以存储一个或多个指令，当由一个或多个处理器执行时，一个或多个指令使得一个或多个处理器接收要使用沙箱环境针对恶意件分析的文件。一个或多个指令可以使得一个或多个处理器确定用于配置沙箱环境的系统配置的配置信息。配置信息可以基于以下项中的至少一项来确定：与要针对恶意件进行分析的文件相关联的文件信息，或者与文件所针对的客户端设备相关联的客户端设备信息。一个或多个指令可以使得一个或多个处理器使用配置信息来配置沙箱环境的系统配置。一个或多个指令可以使得一个或多个处理器基于使用配置信息来配置沙箱环境的系统配置，使用沙箱环境针对恶意件分析文件。在一个示例性实施方式中，其中使得所述一个或多个处理器确定所述配置信息的所述一个或多个指令进一步使得所述一个或多个处理器：基于所述文件信息，而非基于所述客户端设备信息，确定所述配置信息。在一个示例性实施方式中，其中使得所述一个或多个处理器确定所述配置信息的所述一个或多个指令进一步使得所述一个或多个处理器：基于所述客户端设备信息，而非基于所述文件信息，确定所述配置信息。在一个示例性实施方式中，其中所述配置信息标识以下项中的至少一项：要用于所述沙箱环境的所述系统配置的操作系统；要用于所述沙箱环境的所述系统配置的应用；或者要用于所述沙箱环境的所述系统配置的处理器架构。在一个示例性实施方式中，其中当配置所述沙箱环境的所述系统配置时，所述一个或多个指令进一步用于：从多个系统配置中标识所述系统配置；以及在所述沙箱环境中加载所述系统配置。在一个示例性实施方式中，其中当由所述一个或多个处理器执行时，所述一个或多个指令进一步使得所述一个或多个处理器：确定当使用所述系统配置来配置时，所述沙箱环境将会将所述文件标识为恶意件的第一似然；确定当使用另一系统配置来配置时，所述沙箱环境将会将所述文件标识为恶意件的第二似然；基于所述第一似然和所述第二似然，从包括所述系统配置和所述另一系统配置的多个系统配置中，选择所述系统配置；以及其中使得所述一个或多个处理器配置所述沙箱环境的所述系统配置的所述一个或多个指令进一步使得所述一个或多个处理器：基于选择所述系统配置，配置所述沙箱环境的所述系统配置。在一个示例性实施方式中，其中当由所述一个或多个处理器执行时，所述一个或多个指令进一步使得所述一个或多个处理器：确定当使用所述系统配置来配置时，所述沙箱环境将准确地标识所述文件是否包括恶意件的第一似然；确定当使用另一系统配置来配置时，所述沙箱环境将准确地标识所述文件是否包括恶意件的第二似然；基于所述第一似然和所述第二似然，从包括所述系统配置和所述另一系统配置的多个系统配置中，选择所述系统配置；以及其中使得所述一个或多个处理器配置所述沙箱本文档来自技高网...

【技术保护点】
1.一种设备，包括：/n存储器；以及/n一个或多个处理器，用以：/n接收要在沙箱环境中被分析的文件；/n基于分析所述文件来确定文件信息，/n所述文件信息标识系统配置的一个或多个特征；/n基于所述文件信息来确定所述系统配置，/n所述系统配置包括关于以下的信息：/n要由所述沙箱环境使用的编译器，以及/n要由所述沙箱环境使用的操作系统；/n使用所述系统配置来配置所述沙箱环境；/n基于使用所述系统配置来配置所述沙箱环境来在所述沙箱环境中分析所述文件；/n基于在所述沙箱环境中分析所述文件来确定所述文件是否包括恶意件；以及/n选择性地：/n基于确定所述文件包括恶意件来执行动作以抵抗所述恶意件，或者/n基于确定所述文件不包括恶意件来许可所述文件被访问。/n

【技术特征摘要】
20150331 US 14/674,0991.一种设备，包括：
存储器；以及
一个或多个处理器，用以：
接收要在沙箱环境中被分析的文件；
基于分析所述文件来确定文件信息，
所述文件信息标识系统配置的一个或多个特征；
基于所述文件信息来确定所述系统配置，
所述系统配置包括关于以下的信息：
要由所述沙箱环境使用的编译器，以及
要由所述沙箱环境使用的操作系统；
使用所述系统配置来配置所述沙箱环境；
基于使用所述系统配置来配置所述沙箱环境来在所述沙箱环境中分析所述文件；
基于在所述沙箱环境中分析所述文件来确定所述文件是否包括恶意件；以及
选择性地：
基于确定所述文件包括恶意件来执行动作以抵抗所述恶意件，或者
基于确定所述文件不包括恶意件来许可所述文件被访问。


2.根据权利要求1所述设备，其中所述一个或多个处理器在确定所述系统配置时用以：
基于关于所述文件所针对的客户端设备的客户端设备信息来确定所述系统配置。


3.根据权利要求1所述设备，其中所述系统配置还包括关于以下至少一项的信息：
被用于获得所述文件的应用，
被用于获得所述文件的应用的版本，
被用于执行所述文件的应用，
被用于执行所述文件的应用的版本，
能够执行所述文件的处理器架构，
能够解译所述文件的解译器，或者
与所述文件相关联的网络配置。


4.根据权利要求1所述设备，其中所述系统配置由与所述文件所针对的客户端设备相关联的客户端设备信息标识。


5.根据权利要求4所述设备，其中所述系统配置还包括关于以下至少一项的信息：
被安装在所述客户端设备上或者在所述客户端设备上执行的应用集，
被安装在所述客户端设备上或者在所述客户端设备上执行的应用集的版本，
所述客户端设备上的被用于执行特定类型的文件的默认应用集，
由所述客户端设备使用的运行时库，
由所述客户端设备使用的运行时系统，
所述客户端设备的处理器架构，
由所述客户端设备使用的解译器，
与所述客户端设备相关联的文件结构，或者
与所述文件相关联的网络配置。


6.根据权利要求1所述设备，其中所述文件信息指示第一系统配置；
其中客户端设备信息指示第二系统配置；并且
其中所述一个或多个处理器在确定所述系统配置时用以：
基于所述文件信息来选择所述第一系统配置，或者
基于所述客户端设备信息来选择所述第二系统配置。


7.根据权利要求1所述设备，其中所述一个或多个处理器还用以：
针对指示所述系统配置的文件指示符分析所述文件；并且
其中所述一个或多个处理器在确定所述文件信息时用以：
基于针对所述文件指示符分析所述文件来确定所述文件信息。


8.一种存储指令的非瞬态计算机可读介质，所述指令包括：
一个或多个指令，所述一个或多个指令在由一个或多个处理器执行时，使得所述一个或多个处理器：
接收要使用沙箱环境针对恶意件被分析的文件；
基于分析所述文件来确定文件信息，
所述文件信息标识系统配置的一个或多个特征；
基于所述文件信息来确定所述系统配置，
所述系统配置包括关于以下的信息：
要由所述沙箱环境使用的编译器，以及
要由所述沙箱环境使用的操作系统；
使用所述系统配置来配置所述沙箱环境；
基于使用所述系统配置来配置所述沙箱环境来使用所述沙箱环境来针对恶意件分析所述文件；
基于在所述沙箱环境中分析所述文件来确定所述文件是否包括恶意件；以及
选择性地：
基于确定所述文件包括恶意件来执行动作以抵抗所述恶意件，或者
基于确定所述文件不包括恶意件来许可所述文...

【专利技术属性】
技术研发人员：J·A·兰顿，K·亚当斯，D·J·奎因兰，詹臻新，
申请(专利权)人：瞻博网络公司，
类型：发明
国别省市：美国;US