[发明专利]基于文件系统过滤驱动实现沙箱虚拟机多样本运行的方法

说明书

技术领域

本发明是关于恶意文件检测领域，特别涉及基于文件系统过滤驱动实现沙箱虚拟机多样本运行的方法。

背景技术

近年来，随着网络安全问题的日益突出，人们越来越多地将沙箱技术应用于恶意文件检测中。把可疑文件提交到沙箱中动态模拟运行，不仅可以避免未知恶意行为对真实系统的破坏，还可以对可疑文件的行为信息进行捕获和分析，从而为恶意文件的检测提供一种新的方案。

当前恶意文件检测的沙箱应用，主要有任务调度程序和虚拟机组成，任务调度程序负责接收检测任务，将可疑文件通过特定传输方式传入虚拟机的操作系统中，并从虚拟中获取可疑文件行为信息并进行分析。通常情况下，虚拟机中操作系统会有相应的程序与调度程序进行通信，来保证程序可以在虚拟机中按照任务调度程序指定的方式执行。在虚拟机系统中，也会存在任务执行模块和行为监控模块(行为监控一般是通过DLL注入可疑文件对应的进程空间，通过HOOK方式获取可疑文件调用操作系统的API函数及相关参数等行为信息)，行为监控模块最终将可疑文件的行为信息传送给外部的任务调度程序。任务调度程序通过进一步甄别这些行为信息，捕获和分析其中的恶意行为，最终判断被检测的可疑文件是否是恶意文件。

由于在一个虚拟机中多个可疑文件并发运行时，它们的运行轨迹会存在互相干扰的情况，每个可疑文件的运行环境将无法保证纯净性和健壮性，使捕获到的可疑文件调用的操作系统API函数及其相关参数产生变化，从而影响检测的准确性。为解决这一问题，当前的沙箱动态模拟运行检测系统，在一个虚拟机中一次只检测一个可疑文件，以此来规避多文件并发运行带来的互干扰，确保每一个可疑文件的运行环境都是纯净且健壮的，而因此产生的不良后果是，同一时刻仅检测一个可疑文件比并发检测的性能会差很多，因而存在检测能力较低的问题。

发明内容

本发明的主要目的在于克服现有技术中的不足，提供一种能在虚拟机中并发模拟运行多个样本，且任一样本的运行轨迹不因其他样本的并发运行而产生改变的恶意文件检测方法。为解决上述技术问题，本发明的解决方案是：

提供基于文件系统过滤驱动实现沙箱虚拟机多样本运行的方法，用于利用沙箱虚拟机，对多个可疑文件进行并发检测，所述基于文件系统过滤驱动实现沙箱虚拟机多样本运行的方法具体包括下述步骤：

步骤A：沙箱虚拟机中的操作系统提供回调接口和开放式可疑文件的提交接口；

所述提交接口用以外部任务调度程序向沙箱虚拟机提交可疑文件，且提交接口限定沙箱虚拟机中能并发运行的可疑文件的最大数量；

所述回调接口用以向外部任务调度程序返回可疑文件被捕获的行为信息，行为信息包括但不限于可疑文件调用操作系统的API函数及相关参数；

步骤B：在沙箱虚拟机的操作系统中，注册监控驱动；监控驱动用于对指定进程ID及其所有子进程的文件操作、注册表操作、内核对象进行重定向，以及对消息进行隔离，对进程(树)进行隐藏，使可疑文件的运行空间保持独占和相对隔离，从而保证每个可疑文件的运行轨迹不受其他可疑文件所产生的进程的影响(监控驱动是虚拟机中并发运行多样本，且保证任一可疑文件的运行轨迹不因其他可疑文件的运行而产生改变的核心所在)；

所述监控驱动，是在Windows下，使用文件过滤驱动框架(SFilter或者MiniFilter)编写的程序，用于实现文件重定向、注册表重定向、内核对象重定向、消息隔离、进程隐藏等功能，即监控驱动是基于操作系统的文件系统过滤驱动的Windows驱动程序；

步骤C：当沙箱虚拟机的操作系统开始模拟运行多个可疑文件时，为保证每个可疑文件的运行截屏中，不出现其他可疑文件的运行信息或界面，会在每个可疑文件模拟运行时，为每个可疑文件分配专属桌面资源；

在专属桌面中，先以挂起方式执行(或打开)可疑文件，注入监控程序用以捕获可疑文件的行为信息，把进程ID传入监控驱动中，用以文件、注册表、内核对象重定向以及消息隔离、进程隐藏等操作；

其中，所述监控程序(行为监控模块)，能(一般通过DLL)注入程序进程空间，并通过HOOK方式获取可疑文件调用操作系统的API函数及相关参数等行为信息；

步骤D：可疑文件执行完成后，通过回调接口，返回捕获到的上述可疑文件的行为信息，并清理重定向的文件、注册表路径、内核对象目录，销毁所述可疑文件的专属桌面资源；返回的行为信息包括但不限于可疑文件调用操作系统的API函数及相关参数。

在本发明中，所述步骤A中，沙箱虚拟机对是否已达多样本模拟运行的上限进行判断并处理，具体通过下述方式实现：